NuGet供应链攻击中出现60个新恶意包
威胁行动者们正在向 NuGet 程序包管理器发布新一轮恶意包,延续2023年8月开始的攻击活动,同时提升了躲避检测的隐蔽性。
ReversingLabs 公司表示,这些新的恶意包大概有60个,涉及290多个版本,展示出相比之前更加优化的方式。安全研究员 Karlo Zanki 表示,攻击者从使用 NuGet 的 MSBuild 集成跳转到“使用插入合法PE二进制文件的简单、混淆的下载器,使用中间语言 (IL) 编织即一种.NET编程技术,在编译后修改应用的代码。”这些伪造包的终极目标是交付现成可用的远程访问木马 SeroXen RAT。目前所有已识别出的程序包已被下架。
最新的这些程序包的特定是使用新型技术“IL编织”,从而将恶意功能注入源自合法 NuGet 包的合法的PE .NET二进制中。具体包括拿走热门开源包如 Guna.UI2.WinForms 并通过之前提到的方法打补丁,创建伪造包 “Guna.UI3.Winforms”,使用同形字,用 "ս" (\u057D)、 "ո" (\u0578)、 "і" (\u0456) 和 "օ" (\u0585) 替换 "u," "n," "i," 和 "o"。
Zanki 表示,“威胁行动者们不断改进通过恶意代码攻陷和感染受害者的方法和技术,提取敏感数据或获得对IT资产的控制权限。最新活动表明恶意人员意图欺骗开发人员和安全团队去下载和使用恶意或被篡改源自热门开源包管理器如 NuGet 等的包。”
CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击
https://thehackernews.com/2024/07/60-new-malicious-packages-uncovered-in.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。