Agentes de ameaças foram observados publicando uma nova onda de pacotes maliciosos no gerenciador de pacotes NuGet como parte de uma campanha contínua que começou em agosto de 2023, ao mesmo tempo em que adicionavam uma nova camada de furtividade para evitar a detecção.
Os novos pacotes, cerca de 60 em número e abrangendo 290 versões, demonstram uma abordagem refinada em relação ao conjunto anterior que veio à tona em outubro de 2023, disse a empresa de segurança da cadeia de suprimentos de software program ReversingLabs.
Os invasores deixaram de usar as integrações MSBuild do NuGet e adotaram “uma estratégia que usa downloaders simples e ofuscados que são inseridos em arquivos binários PE legítimos usando Middleman Language (IL) Weaving, uma técnica de programação .NET para modificar o código de um aplicativo após a compilação”, disse o pesquisador de segurança Karlo Zanki.
O objetivo last dos pacotes falsificados, tanto antigos quanto novos, é entregar um trojan de acesso remoto pronto para uso chamado SeroXen RAT. Todos os pacotes identificados foram retirados desde então.
A coleção mais recente de pacotes é caracterizada pelo uso de uma nova técnica chamada IL weaving, que possibilita injetar funcionalidade maliciosa em um binário .NET Transportable Executable (PE) legítimo, retirado de um pacote NuGet legítimo.
Isso inclui pegar pacotes populares de código aberto como Guna.UI2.WinForms e aplicá-los patches com o método mencionado acima para criar um pacote impostor chamado “Gսոa.UI3.Wіnfօrms”, que usa homóglifos para substituir as letras “u”, “n”, “i” e “o” por seus equivalentes “ս” (u057D), “ո” (u0578), “і” (u0456) e “օ” (u0585).
“Os agentes de ameaças estão constantemente evoluindo os métodos e táticas que usam para comprometer e infectar suas vítimas com código malicioso usado para extrair dados confidenciais ou fornecer aos invasores controle sobre ativos de TI”, disse Zanki.
“Esta última campanha destaca novas maneiras pelas quais agentes mal-intencionados estão planejando enganar desenvolvedores e equipes de segurança para que baixem e usem pacotes maliciosos ou adulterados de gerenciadores de pacotes de código aberto populares, como o NuGet.”
