Underc0de

Se ha descubierto que un paquete malintencionado hospedado en el administrador de paquetes NuGet para .NET Framework proporciona un troyano de acceso remoto denominado SeroXen RAT.

El paquete, llamado Pathoschild.Stardew.Mod.Build.Config y publicado por un usuario llamado Disti, es un error tipográfico de un paquete legítimo llamado Pathoschild.Stardew.ModBuildConfig, dijo la firma de seguridad de la cadena de suministro de software Phylum en un informe hoy.

Si bien el paquete real ha recibido casi 79,000 descargas hasta la fecha, se dice que la variante maliciosa infló artificialmente su recuento de descargas después de su publicación el 6 de octubre de 2023, para superar las 100,000 descargas.

El perfil detrás del paquete ha publicado otros seis paquetes que han atraído no menos de 2.1 millones de descargas acumulativas, cuatro de los cuales se hacen pasar por bibliotecas para varios servicios criptográficos como Kraken, KuCoin, Solana y Monero, pero también están diseñados para implementar SeroXen RAT.

La cadena de ataque se inicia durante la instalación del paquete mediante un script tools/init.ps1 que está diseñado para lograr la ejecución de código sin activar ninguna advertencia, un comportamiento previamente revelado por JFrog en marzo de 2023 como explotado para recuperar malware de la siguiente etapa.

"Aunque está en desuso, el script init.ps1 sigue siendo respetado por Visual Studio y se ejecutará sin ninguna advertencia al instalar un paquete NuGet", dijo JFrog en ese momento. "Dentro del archivo .ps1, un atacante puede escribir comandos arbitrarios".

En el paquete analizado por Phylum, el script de PowerShell se usa para descargar un archivo denominado x.bin desde un servidor remoto que, en realidad, es un script de Windows Batch muy ofuscado, que, a su vez, es responsable de construir y ejecutar otro script de PowerShell para implementar finalmente el RAT de SeroXen.

SeroXen RAT, un malware listo para usar, se ofrece a la venta por $ 60 por un paquete de por vida, lo que lo hace fácilmente accesible para los ciberdelincuentes. Es un RAT sin archivos que combina las funciones de Quasar RAT, el rootkit r77 y la herramienta de línea de comandos de Windows NirCmd.

"El descubrimiento de SeroXen RAT en los paquetes NuGet solo subraya cómo los atacantes continúan explotando los ecosistemas de código abierto y los desarrolladores que los usan", dijo Phylum.

El desarrollo se produce cuando la compañía detectó siete paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacen pasar por ofertas legítimas de proveedores de servicios en la nube como Aliyun, Amazon Web Services (AWS) y Tencent Cloud para transmitir subrepticiamente las credenciales a una URL remota ofuscada.

Los nombres de los paquetes se enumeran a continuación:

• tencent-cloud-python-sdk
• python-alibabacloud-sdk-core
• AlibabaCloud-OSS2
• python-alibabacloud-tea-openapi
• aws-enumerate-iam
• enumerate-iam-aws
• alisdkcore

"En esta campaña, el atacante está explotando la confianza de un desarrollador, tomando una base de código existente y bien establecida e insertando un solo bit de código malicioso destinado a exfiltrar credenciales confidenciales en la nube", señaló Phylum.

"La sutileza radica en la estrategia del atacante de preservar la funcionalidad original de los paquetes, intentando pasar desapercibidos, por así decirlo. El ataque es minimalista y simple, pero efectivo".

Checkmarx, que también compartió detalles adicionales de la misma campaña, dijo que también está diseñada para apuntar a Telegram a través de un paquete engañoso llamado telethon2, que tiene como objetivo imitar telethon, una biblioteca de Python para interactuar con la API de Telegram.

La mayoría de las descargas de las bibliotecas falsificadas se han originado en los EE. UU., seguidos de China, Singapur, Hong Kong, Rusia y Francia.


"En lugar de realizar una ejecución automática, el código malicioso dentro de estos paquetes se ocultó estratégicamente dentro de las funciones, diseñadas para activarse solo cuando se llamaba a estas funciones", dijo la compañía. "Los atacantes aprovecharon las técnicas de Typosquatting y StarJacking para atraer a los desarrolladores a sus paquetes maliciosos".

A principios de este mes, Checkmarx expuso aún más una campaña implacable y progresivamente sofisticada dirigida a PyPI para sembrar la cadena de suministro de software con 271 paquetes maliciosos de Python con el fin de robar datos confidenciales y criptomonedas de los hosts de Windows.

Los paquetes, que también venían equipados con funciones para desmantelar las defensas del sistema, se descargaron colectivamente aproximadamente 75.000 veces antes de ser eliminados.

Fuente: https://thehackernews.com