.png)
Kötü Amaçlı NuGet Paketleri SeroXen RAT Kötü Amaçlı Yazılımını Dağıtırken Yakalandı
Siber güvenlik araştırmacıları, kötü amaçlı yazılım dağıtımı için daha az bilinen bir yöntem kullanarak NuGet paket yöneticisinde yayımlanan yeni bir dizi kötü amaçlı paketi ortaya çıkardı.
Yazılım tedarik zinciri güvenlik firması ReversingLabs, kampanyayı 1 Ağustos 2023'ten bu yana koordineli ve devam eden bir kampanya olarak nitelendirirken, SeroXen RAT adlı bir uzaktan erişim truva atı sağladığı gözlemlenen bir dizi sahte NuGet paketine bağladı.
ReversingLabs'ta tersine mühendis olan Karlo Zanki, The Hacker News ile paylaşılan bir raporda, "Arkasındaki tehdit aktörleri, NuGet deposuna kötü amaçlı yazılım yerleştirme ve sürekli olarak yeni kötü amaçlı paketler yayınlama arzusunda inatçı" dedi.
Bazı paketlerin isimleri aşağıdadır -
- Pathoschild.Stardew.Mod.Build.Config
- KucoinExchange.Net
- Kraken.Exchange
- DiscordsRpc
- SolanaWallet
- Monero
- Modern.Winform.UI
- MinecraftPocket.Server
- IAmRoot
- ZendeskApi.Client.V2
- Betalgo.Open.AI
- Forge.Open.AI
- Pathoschild.Stardew.Mod.BuildConfig
- CData.NetSuite.Net.Framework
- CData.Salesforce.Net.Framework
- CData.Snowflake.API
Birkaç sürüme yayılan bu paketler, popüler paketleri taklit eder ve kurbanlarına kötü amaçlı kod yerleştirmek için NuGet'in MSBuild tümleştirmeleri özelliğinden yararlanır ve kod yürütmeyi sağlamak için satır içi görevler olarak adlandırılan bir özelliktir.
Zanki, "Bu, kötü amaçlı yazılım yürütmek için bu satır içi görevler özelliğinden yararlanan NuGet deposunda yayınlanan kötü amaçlı yazılımın bilinen ilk örneğidir" dedi.
Şimdi kaldırılan paketler, operasyonun arkasındaki tehdit aktörlerinin, kötü amaçlı kodu varsayılan ekran genişliğinin görüş alanının dışına taşımak için boşluklar ve sekmeler kullanarak gizlemeye çalışması bakımından benzer özellikler sergiliyor.
Phylum tarafından daha önce açıklandığı gibi, paketler ayrıca daha meşru görünmelerini sağlamak için yapay olarak şişirilmiş indirme sayılarına sahiptir. Yanıltıcı paketlerin nihai amacı, tek kullanımlık bir GitHub deposunda barındırılan ikinci aşama .NET yükünü almak için bir kanal görevi görmektir.
Zanki, "Bu kampanyanın arkasındaki tehdit aktörü dikkatli olmak ve ayrıntılara dikkat etmek ve bu kötü niyetli kampanyayı canlı ve aktif tutmaya kararlı" dedi.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı