Alerte : Le paquet NuGet SeroXen RAT menace les développeurs .NET
Dans un récent problème de sécurité, un paquet NuGet trompeur menace les développeurs .NET de déployer SeroXen RAT, un cheval de Troie nuisible pour l'accès à distance. Le cadre .NET n'étant plus limité à Windows, cet incident a des répercussions considérables, même pour les systèmes Linux et Mac. Dans ce blog, nous allons examiner les détails de cette affaire. NuGet Package SeroXen RAT et ses conséquences pour les développeurs de toutes les plateformes.
Découverte du paquet NuGet malveillant SeroXen RAT
Un paquet malveillant nommé "Pathoschild.Stardew.Mod.Build.Config"a été découvert sur le gestionnaire de paquets NuGet, ciblant spécifiquement la sécurité des développeurs .NET. la sécurité des développeurs .NET. Ce paquet frauduleux, créé par un utilisateur sous le pseudonyme "Disti", se fait passer pour un paquet légitime appelé "Pathoschild.Stardew.ModBuildConfig". Les experts en sécurité de Phylum, une société spécialisée dans la sécurité de la chaîne d'approvisionnement des logiciels, ont récemment publié un rapport mettant en lumière cette évolution dangereuse.
Près de 79 000 personnes ont téléchargé le véritable paquet "Pathoschild.Stardew.ModBuildConfig". Dans une manœuvre astucieuse, la souche malveillante a artificiellement augmenté son nombre de téléchargements en dépassant les 100 000 téléchargements après sa publication. 6 octobre 2023 du 6 octobre 2023.
Profil du suspect et usurpation d'identité de la cryptothèque
La personne à l'origine du paquet malveillant a l'habitude de publier de faux paquets, ce qui affaiblit encore davantage la confiance dans la communauté des développeurs .NET. Dans ce scénario, six autres paquets écrits par le même profil ont atteint plus de 2,1 millions de téléchargements. Quatre de ces paquets trompeurs, qui se font passer pour des bibliothèques pour divers services de crypto-monnaie tels que Kraken, KuCoin, Solana et Monero, sont tous conçus pour déployer le RAT SeroXen.
Lancer l'attaque
L'attaque est lancée pendant l'installation du paquet trompeur. Cette procédure dépend d'un script appelé "init.ps1". Ce script a été déprécié, mais il fonctionne toujours lors de l'installation d'un paquet NuGet sans provoquer d'avertissement. Les attaquants peuvent entrer des commandes arbitraires dans le script "init.ps1", que JFrog a précédemment exposé en mars 2023.
Dans le paquet trompeur analysé par Phylum, le script PowerShell est utilisé pour télécharger un fichier nommé "x.bin" à partir d'un serveur distant. Ce fichier est en fait un script Windows Batch profondément déguisé. Ce script est chargé de créer et d'exécuter un autre script PowerShell, qui conduit au déploiement du RAT SeroXen.
SeroXen RAT : un examen plus approfondi
SeroXen RAT est un cheval de Troie d'accès à distance sans fichier qui peut être acheté au prix de 60 $ pour une licence à vie. Ses pouvoirs sont une combinaison du RAT Quasar, du rootkit r77 et de l'application de ligne de commande Windows NirCmd. Cette combinaison permet aux fraudeurs d'exercer un contrôle étendu et de mener des actions secrètes et malveillantes. des actions secrètes et malveillantes.
Cette découverte met en évidence une tendance inquiétante où les attaquants exploitent les écosystèmes de logiciels libres pour cibler les développeurs. Ces écosystèmes reposent sur la confiance et la collaboration, ce qui les rend susceptibles d'être exploités par des acteurs malveillants.
Les menaces s'étendent au-delà de .NET
L'importance de cette menace dépasse la communauté des développeurs .NET. Comme .NET s'est étendu aux systèmes Linux et Mac, un public plus large doit être sensibilisé aux risques associés aux paquets trompeurs. Ces attaques peuvent compromettre la sécurité, même sur des plates-formes non Windows.
Le paquet paquet NuGet malveillantdétectés ne sont pas des événements isolés. Une opération similaire a été découverte sur le Python Package Index (PyPI), avec des paquets imitant des produits réels de fournisseurs de services en nuage bien connus tels qu'Aliyun, Amazon Web Services (AWS) et Tencent Cloud. Ces contrefaçons communiquent secrètement des informations d'identification sensibles à une URL externe obscurcie.
L'importance de la subtilité dans la stratégie d'attaque
Un aspect frappant de ces attaques est la subtilité employée par les attaquants. Ils s'efforcent de préserver la fonctionnalité originale des paquets, dans l'intention de passer inaperçus. L'attaque est minimaliste et directe, mais très efficace. Ces tactiques visent à exploiter la confiance que les développeurs accordent aux bases de code établies.
Les attaquants à l'origine de ces paquets trompeurs ne se sont pas limités à une zone géographique spécifique. Les téléchargements de bibliothèques contrefaites ont été observés principalement aux États-Unis, puis en Chine, à Singapour, à Hong Kong, en Russie et en France. Cette portée internationale souligne la nature mondiale de ces menaces.
Un défi permanent pour les développeurs
Ces incidents font partie d'une campagne permanente et de plus en plus sophistiquée visant à compromettre les chaînes d'approvisionnement en logiciels. Plus tôt, Checkmarx a révélé une campagne qui a infiltré PyPI avec 271 paquets Python malveillants conçus pour voler des données sensibles et de la crypto-monnaie à partir d'hôtes Windows. Donc, protéger les dépendances NuGet doit être une priorité absolue dans votre stratégie de cybersécurité.
Répondre à la menace
Une mise à jour de la situation révèle que les six paquets restants publiés par "Disti" sur NuGet, y compris KucoinExchange.net, Kraken.Exchange, SolanaWallet, Modern.Winform.UI, Monero, et DiscordsRpc, ne sont plus disponibles. Cela reflète les efforts en cours pour atténuer ces menaces.
Conclusion
La découverte d'un paquet NuGet malveillant à l'origine de l'attaque RAT SeroXen RAT nous rappelle brutalement les risques qui existent dans les écosystèmes à code source ouvert. Les développeurs, quel que soit leur système d'exploitation, doivent rester vigilants et adopter des des pratiques de sécurité robustes pour protéger leurs projets et l'intégrité de leurs chaînes d'approvisionnement.
La cybersécurité pour les développeurs .NET est une préoccupation majeure dans le paysage numérique d'aujourd'hui. Rester informé est votre meilleure défense dans un monde où les menaces numériques ne connaissent pas de limites. Que vous soyez un développeur .NET sous Windows ou un développeur travaillant sur différentes plateformes, la vigilance en matière de sécurité est une responsabilité partagée. Faites confiance mais vérifiez et protégez vos projets des paquets trompeurs et des des failles de sécurité potentielles.
Les sources de cet article comprennent des articles dans The Hacker News et SC Media.