Pacchetti NuGet maligni, che sembrano avere oltre 2 milioni di download, imitano portafogli di criptovalute, exchange di criptovalute e librerie Discord per infettare gli sviluppatori con il trojan di accesso remoto SeroXen. NuGet è un gestore di pacchetti open-source e un sistema di distribuzione software che gestisce server di hosting di pacchetti per consentire agli utenti di scaricare e utilizzarli per i loro progetti di sviluppo.
I pacchetti maligni caricati su NuGet da un utente di nome ‘Disti’ sono stati scoperti dai ricercatori di Phylum, che hanno pubblicato un rapporto oggi per avvertire della minaccia. Tutti e sei i pacchetti nel repository di Disti contengono lo stesso file XML che scarica ‘x.bin’, un file batch di Windows offuscato che svolge attività dannose sul sistema compromesso. I pacchetti imitano progetti di criptovalute popolari, exchange e piattaforme, presentando anche i loghi ufficiali per ingannare gli utenti.
I sei pacchetti caricati da Disti su NuGet, ancora disponibili al momento della scrittura, sono:
- Kraken.Exchange – 635k download
- KucoinExchange.Net – 635k download
- SolanaWallet – 600k download
- Modern.Winform.UI – 100k download
- Monero – 100k download
- DiscordsRpc – 75k download
Si ritiene che i numeri di download siano gonfiati e potrebbero non rappresentare la portata di questi pacchetti nella comunità NuGet. Tuttavia, questi conteggi di download aumentano effettivamente la credibilità percepita dei pacchetti, facendoli sembrare versioni genuine delle app o piattaforme suggerite dai loro nomi. Disti potrebbe aver gonfiato le cifre di download utilizzando script automatizzati, botnet, macchine virtuali o contenitori cloud che scaricano un pacchetto molte volte.
I pacchetti incorporano due script PowerShell che eseguono file CMD e Batch durante l’installazione sul computer della vittima. Lo script scarica un file da un URL esterno, lo salva come “.cmd” in una directory temporanea e lo esegue senza mostrare nulla sullo schermo. Questo script recupera un altro file chiamato ‘x.bin’, che, nonostante il suo nome, è uno script batch offuscato con oltre 12.000 righe, e il suo scopo è costruire ed eseguire un altro script PowerShell. Alla fine, quell’ultimo script legge porzioni dal file cmd per decrittografare e decomprimere un payload codificato al suo interno, che Phylum afferma sia SeroXen RAT. Questo trojan di accesso remoto ricco di funzionalità viene commercializzato come un programma legittimo e venduto a $15 al mese o un singolo acquisto “a vita” di $60. A maggio, AT&T ha riferito che SeroXen RAT sta guadagnando popolarità tra i cybercriminali che apprezzano i suoi bassi tassi di rilevamento e le potenti capacità.