Bootstrap

NuGet供应链攻击中出现60个新恶意包

cef2f64fc5108396cda73da45e0cd980.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

威胁行动者们正在向 NuGet 程序包管理器发布新一轮恶意包,延续2023年8月开始的攻击活动,同时提升了躲避检测的隐蔽性。

ReversingLabs 公司表示,这些新的恶意包大概有60个,涉及290多个版本,展示出相比之前更加优化的方式。安全研究员 Karlo Zanki 表示,攻击者从使用 NuGet 的 MSBuild 集成跳转到“使用插入合法PE二进制文件的简单、混淆的下载器,使用中间语言 (IL) 编织即一种.NET编程技术,在编译后修改应用的代码。”这些伪造包的终极目标是交付现成可用的远程访问木马 SeroXen RAT。目前所有已识别出的程序包已被下架。

最新的这些程序包的特定是使用新型技术“IL编织”,从而将恶意功能注入源自合法 NuGet 包的合法的PE .NET二进制中。具体包括拿走热门开源包如 Guna.UI2.WinForms 并通过之前提到的方法打补丁,创建伪造包 “Guna.UI3.Winforms”,使用同形字,用 "ս" (\u057D)、 "ո" (\u0578)、 "і" (\u0456) 和 "օ" (\u0585) 替换 "u," "n," "i," 和 "o"。

Zanki 表示,“威胁行动者们不断改进通过恶意代码攻陷和感染受害者的方法和技术,提取敏感数据或获得对IT资产的控制权限。最新活动表明恶意人员意图欺骗开发人员和安全团队去下载和使用恶意或被篡改源自热门开源包管理器如 NuGet 等的包。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击

WordPress 插件被安后门,用于发动供应链攻击

Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低

AI Python 包中存在缺陷 “Llama Drama” ,威胁软件供应链

原文链接

https://thehackernews.com/2024/07/60-new-malicious-packages-uncovered-in.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

5ed1b11d1c4e85c9e53734f489e614cb.jpeg

3630536992284f471d287aad446b6400.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   605aa5107b3614c415e5581d1c10753e.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

;