Новая угроза в цепочке поставок: обнаружены 60 вредоносных пакетов в NuGet

В ходе последней волны кибератак, которая началась в августе 2023 года, специалисты в области безопасности обнаружили приблизительно 60 новых вредоносных пакетов в системе управления пакетами NuGet. Эти пакеты, представленные в 290 различных версиях, характеризуются усовершенствованными способами скрытия, что усложняет процесс их выявления.

По данным компании ReversingLabs, занимающейся безопасностью программного обеспечения, атакующие отказались от прежнего метода использования интеграции MSBuild в NuGet в пользу более изощрённых подходов. Теперь они применяют зашифрованные загрузчики, встраиваемые в законные PE-файлы в формате .NET с использованием метода IL Weaving. Этот метод позволяет модифицировать код приложения после его компиляции.

Главной задачей этих фальсифицированных пакетов является распространение троянов, предоставляющих удалённый доступ, таких как SeroXen RAT. Все обнаруженные пакеты были немедленно удалены из системы.

Одной из ключевых новинок в последних атаках стало использование техники IL Weaving для внедрения вредоносных функций в исполняемые файлы .NET, связанные с законными пакетами NuGet. Например, широко используемый пакет открытого кода Guna.UI2.WinForms был адаптирован этим методом, в результате чего появился поддельный пакет с названием «Gսոa.UI3.Wіnfօrms», в котором буквы были заменены на гомоглифы.

Злоумышленники неустанно разрабатывают новые стратегии и тактики для компрометации систем и заражения их вредоносным кодом, что позволяет им извлекать конфиденциальные данные и получать контроль над информационно-технологическими активами.