2 milyondan fazla indirme gibi görünen kötü niyetli Nuget paketleri, geliştiricileri Seroxen uzaktan erişim Truva atı ile enfekte etmek için kripto cüzdanları, kripto değişimini ve anlaşmazlık kütüphanelerini taklit ediyor.
NuGet, kullanıcıların geliştirme projeleri için indirip kullanmalarını sağlamak için paket barındırma sunucularını çalıştıran açık kaynaklı bir paket yöneticisi ve yazılım dağıtım sistemidir.
'Disti' adlı bir kullanıcı tarafından NuGet'e yüklenen kötü niyetli paketler, bugün tehdit hakkında uyarmak için bir rapor yayınlayan Phylum araştırmacıları tarafından keşfedildi.
Disti'nin deposundaki altı paketin tümü, uzlaşmış sistemde kötü niyetli etkinlikler gerçekleştiren gizlenmiş bir Windows toplu iş dosyası olan 'X.Bin'i indiren aynı XML dosyasını içerir.
Paketler, kullanıcıları kandırmak için resmi logoları bile içeren popüler kripto para birimi projelerini, borsaları ve platformları taklit ediyor.
Disti tarafından Nuget üzerine yüklenen ve hala yazıldığı sırada mevcut olan altı paket şunlardır:
İndirme numaralarının şişirildiğine inanılıyor ve bu paketlerin Nuget topluluğundaki erişimini temsil etmeyebilir.
Yine de, bu indirme sayıları, paketlerin algılanan güvenilirliğini etkili bir şekilde geliştirerek, bunları adlarının ima ettiği uygulamaların veya platformların gerçek sürümleri gibi görünmesini sağlar.
Disti, bir paketin birçok kez indirilen otomatik komut dosyaları, botnetler, sanal makineler veya bulut kapları kullanarak indirme rakamlarını şişirmiş olabilir.
Paketler, kurbanın bilgisayarına kurulum sırasında CMD ve toplu iş dosyalarını yürüten iki PowerShell komut dosyası içerir.
Komut dosyası harici bir URL'den bir dosya indirir, bir geçici dizinde ".cmd" olarak kaydeder ve ekranda hiçbir şey görüntüleymeden yürütür.
Bu komut dosyası, adına rağmen 12.000'den fazla satıra sahip gizlenmiş bir toplu betiğe sahip olan 'X.Bin' adlı başka bir dosyayı getirir ve amacı başka bir PowerShell betiği oluşturmak ve yürütmektir.
Sonunda, bu son komut dosyası, Phylum'un Seroxen Sıçanı olduğunu söylediği kodlanmış bir yükü şifresini çözmek ve çözmek için CMD dosyasından bölümleri okur.
Bu özellik açısından zengin uzaktan erişim Trojan, meşru bir program olarak pazarlanmakta ve ayda 15 $ veya 60 $ 'lık tek bir "ömür boyu" satın alma işlemi için satılmaktadır.
Mayıs ayında AT&T, Seroxen sıçanının düşük tespit oranlarına ve güçlü yeteneklerine değer veren siber suçlular arasında popülerlik kazandığını bildirdi.
Yüzlerce kötü niyetli python paketi, hassas verileri çalmayı buldu
Kötü niyetli PYPI ve NPM paketleri akışı ile çalınan SSH tuşları
Mixin Network, 200 milyon dolarlık hack'i takiben operasyonları askıya alıyor
Kripto firması Nansen, satıcı ihlalinden sonra kullanıcılardan şifreleri sıfırlamalarını ister
Atomik cüzdan hackleri, Crypto çalınan 35 milyon doların üzerinde yol açtı
Kaynak: Bleeping Computer