حزمة NuGet الضارة تستهدف مطوري .NET باستخدام SeroXen RAT. كشف تقرير صادر عن شركة Phylum المتخصصة في أمن سلسلة التوريد البرمجية عن حزمة NuGet ضارة تستهدف مطوري .NET مع حصان طروادة للوصول عن بعد يسمى SeroXen RAT.
تم تسمية الحزمة Pathoschild.Stardew.Mod.Build.Config وتم نشرها بواسطة مستخدم باسم Disti، وهي عبارة عن Typosquat للحزمة الشرعية Pathoschild.Stardew.ModBuildConfig.
في حين تلقت الحزمة الحقيقية ما يقرب من 79000 عملية تنزيل حتى الآن، يقال أن المتغير الضار قد قام بتضخيم عدد التنزيلات بشكل مصطنع بعد نشره في 6 أكتوبر 2023، ليتجاوز 100000 عملية تنزيل.
نشر الملف الشخصي وراء الحزمة ست حزم أخرى جذبت ما لا يقل عن 2.1 مليون عملية تنزيل بشكل تراكمي، أربعة منها تتنكر على أنها مكتبات لخدمات تشفير مختلفة مثل Kraken و KuCoin و Solana و Monero، ولكنها مصممة أيضًا لتوزيع SeroXen RAT.
يتم بدء سلسلة الهجوم أثناء تثبيت الحزمة من خلال وسيلة من أدوات / init.ps1، وهو مصمم لتحقيق تنفيذ الكود دون إثارة أي تحذير، وهو سلوك تم الكشف عنه سابقًا من قبل JFrog في مارس 2023 على أنه يتم استغلاله لاسترداد البرامج الضارة للمرحلة التالية.
في الحزمة التي تم تحليلها بواسطة Phylum. يتم استخدام سكريبت PowerShell لتنزيل ملف يسمى x.bin من خادم بعيد. وهو في الواقع سكريبت Windows Batch متخفي بشكل كبير. والذي بدوره مسؤول عن إنشاء وتنفيذ سكريبت PowerShell آخر لنشر SeroXen RAT في النهاية.
SeroXen RAT هو حصان طروادة للوصول عن بعد متاح للبيع مقابل 60 دولارًا للحزمة مدى الحياة. مما يجعله في متناول المجرمين الإلكترونيين بسهولة. إنه حصان طروادة للوصول عن بعد بدون ملف يجمع بين وظائف Quasar RAT و r77 rootkit وأداة سطر الأوامر لنظام التشغيل Windows NirCmd.
وقال Phylum إن اكتشاف SeroXen RAT في حزم NuGet يؤكد فقط كيف يواصل المهاجمون استغلال أنظمة المصادر المفتوحة والمطورين الذين يستخدمونها.
التوصيات
- على مطوري .NET توخي الحذر عند تنزيل الحزم من NuGet، والتأكد من أنها تأتي من ناشرين موثوقين.
- يجب على المطورين أيضًا مراجعة سجلات التغيير الخاصة بالحزم التي يستخدمونها بانتظام. والتأكد من أنهم على دراية بأي تغييرات في الوظائف قد تؤثر على أمان تطبيقاتهم.
- يمكن للمطورين أيضًا استخدام أدوات تحليل الرمز الثنائي للبحث عن أي سلوك ضار في الحزم التي ينزلونها.
المزيد من التفاصيل حول الحملة
كشفت شركة Checkmarx. التي شاركت تفاصيل إضافية عن نفس الحملة. أنها مصممة أيضًا لاستهداف Telegram عبر حزمة خادعة تسمى telethon2. والتي تهدف إلى تقليد telethon. وهي مكتبة Python للتفاعل مع واجهة برمجة تطبيقات Telegram.
نشأت غالبية تنزيلات المكتبات المزيفة من الولايات المتحدة، تليها الصين، وسنغافورة، وهونغ كونغ، وروسيا، وفرنسا.
وقال بيان للشركة: “بدلاً من إجراء تنفيذ تلقائي. كان الكود الضار داخل هذه الحزم مخفيًا استراتيجيًا داخل الوظائف. المصممة لتت déclencher فقط عند استدعاء هذه الوظائف”. “استغل المهاجمون تقنيات Typosquatting و StarJacking لجذب المطورين إلى حزمهم الضارة.”
في وقت سابق من هذا الشهر. كشفت Checkmarx أيضًا عن حملة لا هوادة فيها ومتطورة بشكل متزايد تستهدف PyPI لبذر سلسلة توريد البرمجيات بـ 271 حزمة Python ضارة من أجل سرقة البيانات الحساسة والعملات المشفرة من مضيفي Windows.
تم تنزيل الحزم، التي جاءت أيضًا مزودة بوظائف لتفكيك دفاعات النظام، ما يقرب من 75000 مرة قبل إزالتها.
حزمة NuGet الضارة تستهدف مطوري .NET باستخدام SeroXen RAT. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.