ClickCease Alerte : Le paquet NuGet SeroXen RAT menace les développeurs .NET

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Alerte : Le paquet NuGet SeroXen RAT menace les développeurs .NET

par Wajahat Raja

24 octobre 2023 - L'équipe d'experts de TuxCare

Dans un récent problème de sécurité, un paquet NuGet trompeur menace les développeurs .NET de déployer SeroXen RAT, un cheval de Troie nuisible pour l'accès à distance. Le cadre .NET n'étant plus limité à Windows, cet incident a des répercussions considérables, même pour les systèmes Linux et Mac. Dans ce blog, nous allons examiner les détails de cette affaire. NuGet Package SeroXen RAT et ses conséquences pour les développeurs de toutes les plateformes.

 

Découverte du paquet NuGet malveillant SeroXen RAT


Un paquet malveillant nommé "
Pathoschild.Stardew.Mod.Build.Config"a été découvert sur le gestionnaire de paquets NuGet, ciblant spécifiquement la sécurité des développeurs .NET. la sécurité des développeurs .NET. Ce paquet frauduleux, créé par un utilisateur sous le pseudonyme "Disti", se fait passer pour un paquet légitime appelé "Pathoschild.Stardew.ModBuildConfig". Les experts en sécurité de Phylum, une société spécialisée dans la sécurité de la chaîne d'approvisionnement des logiciels, ont récemment publié un rapport mettant en lumière cette évolution dangereuse.

Près de 79 000 personnes ont téléchargé le véritable paquet "Pathoschild.Stardew.ModBuildConfig". Dans une manœuvre astucieuse, la souche malveillante a artificiellement augmenté son nombre de téléchargements en dépassant les 100 000 téléchargements après sa publication. 6 octobre 2023 du 6 octobre 2023.

 

Profil du suspect et usurpation d'identité de la cryptothèque


La personne à l'origine du paquet malveillant a l'habitude de publier de faux paquets, ce qui affaiblit encore davantage la confiance dans la communauté des développeurs .NET. Dans ce scénario, six autres paquets écrits par le même profil ont atteint plus de 2,1 millions de téléchargements. Quatre de ces paquets trompeurs, qui se font passer pour des bibliothèques pour divers services de crypto-monnaie tels que Kraken, KuCoin, Solana et Monero, sont tous conçus pour déployer le RAT SeroXen.


Lancer l'attaque


L'attaque est lancée pendant l'installation du paquet trompeur. Cette procédure dépend d'un script appelé "init.ps1". Ce script a été déprécié, mais il fonctionne toujours lors de l'installation d'un paquet NuGet sans provoquer d'avertissement. Les attaquants peuvent entrer des commandes arbitraires dans le script "init.ps1", que JFrog a précédemment exposé en mars 2023.

Dans le paquet trompeur analysé par Phylum, le script PowerShell est utilisé pour télécharger un fichier nommé "x.bin" à partir d'un serveur distant. Ce fichier est en fait un script Windows Batch profondément déguisé. Ce script est chargé de créer et d'exécuter un autre script PowerShell, qui conduit au déploiement du RAT SeroXen.


SeroXen RAT : un examen plus approfondi


SeroXen RAT est un cheval de Troie d'accès à distance sans fichier qui peut être acheté au prix de 60 $ pour une licence à vie. Ses pouvoirs sont une combinaison du RAT Quasar, du rootkit r77 et de l'application de ligne de commande Windows NirCmd. Cette combinaison permet aux fraudeurs d'exercer un contrôle étendu et de mener des actions secrètes et malveillantes.
des actions secrètes et malveillantes.

Cette découverte met en évidence une tendance inquiétante où les attaquants exploitent les écosystèmes de logiciels libres pour cibler les développeurs. Ces écosystèmes reposent sur la confiance et la collaboration, ce qui les rend susceptibles d'être exploités par des acteurs malveillants.


Les menaces s'étendent au-delà de .NET

 

L'importance de cette menace dépasse la communauté des développeurs .NET. Comme .NET s'est étendu aux systèmes Linux et Mac, un public plus large doit être sensibilisé aux risques associés aux paquets trompeurs. Ces attaques peuvent compromettre la sécurité, même sur des plates-formes non Windows.

Le paquet paquet NuGet malveillantdétectés ne sont pas des événements isolés. Une opération similaire a été découverte sur le Python Package Index (PyPI), avec des paquets imitant des produits réels de fournisseurs de services en nuage bien connus tels qu'Aliyun, Amazon Web Services (AWS) et Tencent Cloud. Ces contrefaçons communiquent secrètement des informations d'identification sensibles à une URL externe obscurcie.


L'importance de la subtilité dans la stratégie d'attaque

 

Un aspect frappant de ces attaques est la subtilité employée par les attaquants. Ils s'efforcent de préserver la fonctionnalité originale des paquets, dans l'intention de passer inaperçus. L'attaque est minimaliste et directe, mais très efficace. Ces tactiques visent à exploiter la confiance que les développeurs accordent aux bases de code établies.

Les attaquants à l'origine de ces paquets trompeurs ne se sont pas limités à une zone géographique spécifique. Les téléchargements de bibliothèques contrefaites ont été observés principalement aux États-Unis, puis en Chine, à Singapour, à Hong Kong, en Russie et en France. Cette portée internationale souligne la nature mondiale de ces menaces.


Un défi permanent pour les développeurs


Ces incidents font partie d'une campagne permanente et de plus en plus sophistiquée visant à compromettre les chaînes d'approvisionnement en logiciels. Plus tôt, Checkmarx a révélé une campagne qui a infiltré PyPI avec 271 paquets Python malveillants conçus pour voler des données sensibles et de la crypto-monnaie à partir d'hôtes Windows. Donc,
protéger les dépendances NuGet doit être une priorité absolue dans votre stratégie de cybersécurité.

 

Répondre à la menace


Une mise à jour de la situation révèle que les six paquets restants publiés par "Disti" sur NuGet, y compris KucoinExchange.net, Kraken.Exchange, SolanaWallet, Modern.Winform.UI, Monero, et DiscordsRpc, ne sont plus disponibles. Cela reflète les efforts en cours pour atténuer ces menaces. 


Conclusion


La découverte d'un paquet NuGet malveillant à l'origine de l'attaque RAT
SeroXen RAT nous rappelle brutalement les risques qui existent dans les écosystèmes à code source ouvert. Les développeurs, quel que soit leur système d'exploitation, doivent rester vigilants et adopter des des pratiques de sécurité robustes pour protéger leurs projets et l'intégrité de leurs chaînes d'approvisionnement.

La cybersécurité pour les développeurs .NET est une préoccupation majeure dans le paysage numérique d'aujourd'hui. Rester informé est votre meilleure défense dans un monde où les menaces numériques ne connaissent pas de limites. Que vous soyez un développeur .NET sous Windows ou un développeur travaillant sur différentes plateformes, la vigilance en matière de sécurité est une responsabilité partagée. Faites confiance mais vérifiez et protégez vos projets des paquets trompeurs et des des failles de sécurité potentielles.

Les sources de cet article comprennent des articles dans The Hacker News et SC Media.

Résumé
Alerte : Le paquet NuGet SeroXen RAT menace les développeurs .NET
Nom de l'article
Alerte : Le paquet NuGet SeroXen RAT menace les développeurs .NET
Description
Protégez vos projets .NET de la menace RAT NuGet Package SeroXen. Apprenez à rester en sécurité dans le monde du développement .NET.
Auteur
Nom de l'éditeur
Entretien des smokings
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !