Troyano SeroXen RAT propagado a travez de Nuget .NET
Se ha descubierto que un paquete malicioso alojado en el administrador de paquetes NuGet para .NET Framework entrega un troyano de acceso remoto llamado SeroXen RAT. El paquete, llamado “Pathoschild.Stardew.Mod.Build.Config” y publicado por un usuario llamado Disti , es un error tipográfico de un paquete legítimo llamado “Pathoschild.Stardew.ModBuildConfig” , dijo hoy la firma de seguridad de la cadena de suministro de software Phylum en un informe. Si bien el paquete real ha recibido casi 79.000 descargas hasta la fecha, se dice que la variante maliciosa infló artificialmente su recuento de descargas después de su publicación el 6 de octubre de 2023, para superar las 100.000 descargas. El perfil detrás del paquete ha publicado otros seis paquetes que han atraído no menos de 2,1 millones de descargas acumuladas, cuatro de las cuales se hacen pasar por bibliotecas para varios servicios criptográficos como Kraken, KuCoin, Solana y Monero, pero también están diseñadas para implementar SeroXen RAT.
La cadena de ataque se inicia durante la instalación del paquete mediante un script tools/init.ps1 que está diseñado para lograr la ejecución del código sin generar ninguna advertencia, un comportamiento previamente revelado por JFrog en marzo de 2023 como explotado para recuperar malware de la siguiente etapa. "Aunque está en desuso, Visual Studio todavía respeta el script init.ps1 y se ejecutará sin previo aviso al instalar un paquete NuGet", dijo JFrog en ese momento. "Dentro del archivo .ps1, un atacante puede escribir comandos arbitrarios".
El script PowerShell sé utiliza para descargar un archivo llamado x.bin desde un servidor remoto que, en realidad, es un script Windows Batch muy ofuscado, que, a su vez, es responsable de construir y ejecutar otro Script de PowerShell para implementar finalmente SeroXen RAT. SeroXen RAT , un malware disponible en el mercado, se ofrece a la venta por $60 por un paquete de por vida, lo que lo hace fácilmente accesible para los ciberdelincuentes. Es un RAT sin archivos que combina las funciones de Quasar RAT, el rootkit r77 y la herramienta de línea de comandos de Windows NirCmd .
Recomendaciones
Es de suma importancia asegurar la integridad de las librerías utilizadas para el desarrollo de aplicaciones. En este caso, la campaña aprovecha la similitud de los nombres de librerías y las descargas de la misma para engañar a los desarrolladores. El que nuget sea un repositorio libre como muchos en el mundo del desarrollo, permite que atacantes puedan propagar Malware sin el consentimiento del desarrollador.
Por parte de CDC, se visitó el repositorio y ya no se encuentra el paquete en cuestión.
Referencias
- https://www.nuget.org/packages?q=Pathoschild.Stardew.Mod.Build.Config&prerel=true&sortby=relevance
- https://thehackernews.com/2023/10/malicious-nuget-package-targeting-net.html
