Alerta: El paquete NuGet SeroXen RAT amenaza a los desarrolladores .NET
En un reciente problema de seguridad, un paquete NuGet engañoso amenaza a los desarrolladores de .NET con el despliegue de SeroXen RAT, un troyano dañino de acceso remoto. Dado que el marco .NET ya no se limita a Windows, este suceso tiene repercusiones de gran alcance, incluso para los sistemas Linux y Mac. En este blog, nos adentraremos en los pormenores de este Paquete NuGet SeroXen RAT y sus ramificaciones para los desarrolladores de todas las plataformas.
El paquete malicioso NuGet SeroXen RAT Paquete de Descubrimiento
Un paquete malicioso llamado "Pathoschild.Stardew.Mod.Build.Config" en el gestor de paquetes NuGet, dirigido específicamente a la seguridad de los la seguridad de los desarrolladores de .NET. Este paquete fraudulento, cuyo autor es un usuario bajo el alias "Disti", se hace pasar por un paquete legítimo llamado "Pathoschild.Stardew.ModBuildConfig". Expertos en seguridad de Phylum, una empresa dedicada a la seguridad de la cadena de suministro de software, publicaron recientemente un informe en el que ponen de relieve esta peligrosa evolución.
Casi 79.000 personas han descargado el paquete real "Pathoschild.Stardew.ModBuildConfig". En una hábil maniobra, la cepa maliciosa aumentó artificialmente su recuento de descargas superando las 100.000 descargas después de su 6 de octubre de 2023 de octubre de 2023.
Perfil del sospechoso y suplantación de la criptoteca
La persona detrás del paquete malicioso tiene un historial de emisión de paquetes falsos, debilitando aún más la fe en la comunidad de desarrolladores .NET. En este escenario, otros seis paquetes escritos por el mismo perfil han conseguido más de 2,1 millones de descargas. Cuatro de estos paquetes engañosos, que se hacen pasar por bibliotecas para diversos servicios de criptomonedas como Kraken, KuCoin, Solana y Monero, están diseñados para desplegar la RAT SeroXen.
Iniciar el ataque
El ataque se inicia durante la instalación del paquete engañoso. Este procedimiento depende de un script llamado "init.ps1". Este script ha sido obsoleto, pero sigue funcionando al instalar un paquete NuGet sin causar ninguna advertencia. Los atacantes pueden introducir comandos arbitrarios en el script "init.ps1", que JFrog expuso anteriormente en marzo de 2023.
Dentro del paquete engañoso analizado por Phylum, el script PowerShell se utiliza para descargar un archivo llamado "x.bin" desde un servidor remoto. Este archivo es en realidad un script Windows Batch profundamente camuflado. Este script se encarga de crear y ejecutar otro script PowerShell, que conduce al despliegue de la RAT SeroXen.
SeroXen RAT: una mirada más cercana
SeroXen RAT es un troyano de acceso remoto sin archivos que puede adquirirse por 60 dólares para una licencia de por vida. Sus poderes son una combinación de Quasar RAT, el rootkit r77 y la aplicación de línea de comandos de Windows NirCmd. Esta combinación proporciona a los estafadores un amplio control, así como la capacidad de llevar a cabo acciones encubiertas y malévolas.
Este descubrimiento subraya una tendencia preocupante en la que los atacantes se aprovechan de los ecosistemas de código abierto para atacar a los desarrolladores. Estos ecosistemas se basan en la confianza y la colaboración, lo que los hace susceptibles de ser explotados por agentes maliciosos.
Ampliación de las amenazas más allá de .NET
La importancia de esta amenaza va más allá de la comunidad de desarrolladores de .NET. Dado que .NET se ha extendido para ejecutarse en sistemas Linux y Mac, es preciso concienciar a un público más amplio de los riesgos asociados a los paquetes engañosos. Estos ataques pueden comprometer la seguridad, incluso en plataformas distintas de Windows.
El paquete NuGet maliciosodetectados no son hechos aislados. Se descubrió una operación similar en el Python Package Index (PyPI), con paquetes que imitaban productos reales de conocidos proveedores de servicios en la nube como Aliyun, Amazon Web Services (AWS) y Tencent Cloud. Estas falsificaciones comunican en secreto credenciales sensibles de la nube a una URL externa ofuscada.
La importancia de la sutileza en la estrategia de ataque
Un aspecto sorprendente de estos ataques es la sutileza empleada por los atacantes. Tratan de preservar la funcionalidad original de los paquetes, con la intención de pasar desapercibidos. El ataque es minimalista y sencillo, pero muy eficaz. Estas tácticas se centran en explotar la confianza que los desarrolladores depositan en las bases de código establecidas.
Los atacantes que están detrás de estos paquetes engañosos no se han limitado a una zona geográfica concreta. Las descargas de bibliotecas falsificadas se han observado principalmente en Estados Unidos, seguido de China, Singapur, Hong Kong, Rusia y Francia. Este alcance internacional pone de relieve la naturaleza global de estas amenazas.
Un reto constante para los promotores
Estos incidentes forman parte de una campaña en curso, cada vez más sofisticada, para comprometer las cadenas de suministro de software. Anteriormente, Checkmarx expuso una campaña que se infiltró en PyPI con 271 paquetes Python maliciosos diseñados para robar datos confidenciales y criptomonedas de hosts Windows. Así pues proteger las dependencias de NuGet debería ser una prioridad en su estrategia de ciberseguridad.
Respuesta a la amenaza
Una actualización de la situación revela que los seis paquetes restantes publicados por "Disti" en NuGet, incluidos KucoinExchange.net, Kraken.Exchange, SolanaWallet, Modern.Winform.UI, Monero y DiscordsRpc, ya no están disponibles. Esto refleja los esfuerzos en curso para mitigar estas amenazas.
Conclusión
El descubrimiento de un paquete NuGet malicioso causante del ataque SeroXen RAT es un claro recordatorio de los riesgos existentes en los ecosistemas de código abierto. Los desarrolladores, independientemente de su sistema operativo, deben permanecer vigilantes y adoptar prácticas de seguridad sólidas para proteger sus proyectos y la integridad de sus cadenas de suministro.
La ciberseguridad para desarrolladores .NET es una preocupación primordial en el panorama digital actual. Mantenerse informado es su mejor defensa en un mundo en el que las amenazas digitales no conocen límites. Tanto si es un desarrollador .NET en Windows como si trabaja en varias plataformas, la vigilancia de la seguridad es una responsabilidad compartida. Confíe pero verifique y proteja sus proyectos de paquetes engañosos y de posibles brechas de seguridad.
Las fuentes de este artículo incluyen artículos en The Hacker News y SC Media.