ClickCease Warnung: NuGet-Paket SeroXen RAT Bedrohung für .NET-Entwickler

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Warnung: NuGet-Paket SeroXen RAT Bedrohung für .NET-Entwickler

Wajahat Raja

24. Oktober 2023. TuxCare-Expertenteam

In einem kürzlich aufgetretenen Sicherheitsproblem bedroht ein betrügerisches NuGet-Paket .NET-Entwickler mit der Bereitstellung des SeroXen RAT, einem schädlichen Remote-Access-Trojaner. Da das .NET-Framework nicht mehr auf Windows beschränkt ist, hat dieser Vorfall weitreichende Auswirkungen, auch auf Linux- und Mac-Systeme. In diesem Blog gehen wir auf die Einzelheiten dieses Problems ein NuGet-Paket SeroXen RAT Bedrohung und ihre Auswirkungen für Entwickler auf allen Plattformen.

 

Das bösartige NuGet-Paket SeroXen RAT Package Discovery


Ein abtrünniges Paket namens "
Pathoschild.Stardew.Mod.Build.Config" wurde im NuGet-Paketmanager entdeckt und zielt speziell auf die .NET-Entwickler Sicherheit. Dieses betrügerische Paket, das von einem Benutzer mit dem Alias "Disti" erstellt wurde, gibt sich als legitimes Paket namens "Pathoschild.Stardew.ModBuildConfig" aus. Sicherheitsexperten von Phylum, einem Unternehmen für die Sicherheit der Software-Lieferkette, haben kürzlich einen Bericht veröffentlicht, der diese gefährliche Entwicklung aufzeigt.

Fast 79.000 Personen haben das echte "Pathoschild.Stardew.ModBuildConfig"-Paket heruntergeladen. Mit einem geschickten Manöver hat der Schädling die Zahl seiner Downloads künstlich erhöht, indem er mehr als 100.000 Downloads verzeichnete, nachdem er 6. Oktober 2023 Veröffentlichung.

 

Verdächtigenprofil und Crypto Library Impersonation


Die Person, die hinter dem bösartigen Paket steckt, hat bereits in der Vergangenheit gefälschte Pakete herausgegeben und damit das Vertrauen in die .NET-Entwicklergemeinschaft weiter geschwächt. In diesem Szenario haben sechs weitere Pakete, die von demselben Profil geschrieben wurden, über 2,1 Millionen Downloads erreicht. Vier dieser betrügerischen Pakete, die sich als Bibliotheken für verschiedene Kryptowährungsdienste wie Kraken, KuCoin, Solana und Monero ausgeben, sind alle darauf ausgelegt, das SeroXen RAT zu installieren.


Initiierung des Angriffs


Der Angriff wird während der Installation des betrügerischen Pakets eingeleitet. Dieses Verfahren ist abhängig von einem Skript namens "init.ps1". Dieses Skript wurde veraltet, funktioniert aber immer noch bei der Installation eines NuGet-Pakets, ohne eine Warnung auszulösen. Angreifer können beliebige Befehle in das Skript "init.ps1" eingeben, das JFrog bereits im März 2023 veröffentlicht hat.

In dem von Phylum analysierten betrügerischen Paket wird das PowerShell-Skript zum Herunterladen einer Datei namens "x.bin" von einem Remote-Server verwendet. Bei dieser Datei handelt es sich in Wirklichkeit um ein stark getarntes Windows-Batch-Skript. Dieses Skript ist für die Erstellung und Ausführung eines weiteren PowerShell-Skripts zuständig, das zur Bereitstellung des SeroXen RAT führt.


SeroXen RAT: Ein genauerer Blick


SeroXen RAT ist ein dateiloser Fernzugriffstrojaner, der für 60 US-Dollar für eine lebenslange Lizenz erworben werden kann. Seine Kräfte sind eine Kombination aus dem Quasar RAT, dem r77 Rootkit und der Windows-Befehlszeilenanwendung NirCmd. Diese Kombination bietet Betrügern eine umfassende Kontrolle und die Möglichkeit, verdeckte und bösartige Aktionen durchzuführen.
verdeckte und böswillige Aktionen durchzuführen.

Diese Entdeckung unterstreicht einen besorgniserregenden Trend, bei dem Angreifer Open-Source-Ökosysteme ausnutzen, um Entwickler anzugreifen. Diese Ökosysteme beruhen auf Vertrauen und Zusammenarbeit, was sie anfällig für die Ausnutzung durch böswillige Akteure macht.


Ausweitung der Bedrohungen über .NET hinaus

 

Die Bedeutung dieser Bedrohung geht über die Gemeinschaft der .NET-Entwickler hinaus. Da .NET inzwischen auch auf Linux- und Mac-Systemen ausgeführt werden kann, muss ein breiteres Publikum auf die mit betrügerischen Paketen verbundenen Risiken aufmerksam gemacht werden. Diese Angriffe können die Sicherheit auch auf Nicht-Windows-Plattformen gefährden.

Das bösartigen NuGet-Paketedie entdeckt wurden, sind keine Einzelfälle. Ein ähnlicher Vorgang wurde im Python Package Index (PyPI) entdeckt, wobei Pakete tatsächliche Produkte von bekannten Cloud-Service-Anbietern wie Aliyun, Amazon Web Services (AWS) und Tencent Cloud imitieren. Diese Fälschungen übermitteln heimlich sensible Cloud-Anmeldedaten an eine verschleierte externe URL.


Die Bedeutung der Subtilität in der Angriffsstrategie

 

Ein auffälliger Aspekt dieser Angriffe ist die Raffinesse, mit der die Angreifer vorgehen. Sie zielen darauf ab, die ursprüngliche Funktionalität der Pakete beizubehalten, um unter dem Radar zu bleiben. Der Angriff ist minimalistisch und einfach, aber höchst effektiv. Diese Taktik zielt darauf ab, das Vertrauen der Entwickler in etablierte Codebasen auszunutzen.

Die Angreifer, die hinter diesen betrügerischen Paketen stecken, haben sich nicht auf ein bestimmtes geografisches Gebiet beschränkt. Downloads von gefälschten Bibliotheken wurden vor allem in den Vereinigten Staaten beobachtet, gefolgt von China, Singapur, Hongkong, Russland und Frankreich. Diese internationale Reichweite unterstreicht den globalen Charakter dieser Bedrohungen.


Eine ständige Herausforderung für Entwickler


Diese Vorfälle sind Teil einer fortlaufenden, immer raffinierteren Kampagne, die darauf abzielt, Software-Lieferketten zu kompromittieren. Zuvor hatte Checkmarx eine Kampagne aufgedeckt, die PyPI mit 271 bösartigen Python-Paketen infiltrierte, um sensible Daten und Kryptowährungen von Windows-Hosts zu stehlen. So,
Schutz von NuGet-Abhängigkeiten sollte daher oberste Priorität in Ihrer Cybersicherheitsstrategie haben.

 

Reaktion auf die Bedrohung


Ein Update der Situation zeigt, dass die sechs verbleibenden Pakete, die von "Disti" auf NuGet veröffentlicht wurden, einschließlich KucoinExchange.net, Kraken.Exchange, SolanaWallet, Modern.Winform.UI, Monero und DiscordsRpc, nicht mehr verfügbar sind. Dies spiegelt die laufenden Bemühungen wider, diese Bedrohungen zu entschärfen. 


Schlussfolgerung


Die Entdeckung eines bösartigen NuGet-Pakets, das den
SeroXen RAT-Angriff verursacht hat, ist eine deutliche Erinnerung an die Risiken in Open-Source-Ökosystemen. Entwickler, unabhängig von ihrem Betriebssystem, müssen wachsam bleiben und robuste Sicherheitspraktiken um ihre Projekte und die Integrität ihrer Lieferketten zu schützen.

Cybersecurity für .NET-Entwickler ist in der heutigen digitalen Landschaft von größter Bedeutung. Die beste Verteidigung in einer Welt, in der digitale Bedrohungen keine Grenzen kennen, ist, sich weiterzubilden. Unabhängig davon, ob Sie ein .NET-Entwickler unter Windows oder ein Entwickler sind, der auf verschiedenen Plattformen arbeitet, ist die Wachsamkeit für die Sicherheit eine gemeinsame Verantwortung. Vertrauen Sie, aber überprüfen Sie und schützen Sie Ihre Projekte vor betrügerischen Paketen und potenziellen Sicherheitslücken.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und SC Medien.

Zusammenfassung
Warnung: NuGet-Paket SeroXen RAT Bedrohung für .NET-Entwickler
Artikel Name
Warnung: NuGet-Paket SeroXen RAT Bedrohung für .NET-Entwickler
Beschreibung
Schützen Sie Ihre .NET-Projekte vor der Bedrohung durch das NuGet-Paket SeroXen RAT. Erfahren Sie, wie Sie in der Welt der .NET-Entwicklung sicher bleiben.
Autor
Name des Herausgebers
Smoking-Pflege
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter