ClickCease 경고: .NET 개발자를 대상으로 하는 NuGet 패키지 SeroXen RAT 위협

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

경고: .NET 개발자를 대상으로 하는 NuGet 패키지 SeroXen RAT 위협

와자핫 라자

2023년 10월 24일 - TuxCare 전문가 팀

최근의 보안 문제에서, 기만적인 NuGet 패키지가 유해한 원격 액세스 트로이 목마인 SeroXen RAT를 배포하여 .NET 개발자를 위협하고 있습니다. .NET 프레임워크는 더 이상 Windows에만 국한되지 않기 때문에 이 문제는 Linux 및 Mac 시스템에도 광범위한 영향을 미칩니다. 이 블로그에서는 이에 대한 구체적인 내용을 살펴보겠습니다. NuGet 패키지 SeroXen RAT 위협과 여러 플랫폼의 개발자에게 미치는 영향에 대해 자세히 알아보겠습니다.

 

악성 NuGet 패키지 SeroXen RAT 패키지 발견


"
Pathoschild.Stardew.Mod.Build.Config"라는 이름의 악성 패키지가 NuGet 패키지 관리자에서 발견되었습니다. .NET 개발자 보안. "Disti"라는 별칭을 사용하는 사용자가 작성한 이 사기성 패키지는 "Pathoschild.Stardew.ModBuildConfig"라는 합법적인 패키지로 가장합니다. 소프트웨어 공급망 보안 회사인 Phylum의 보안 전문가들은 최근 이 위험한 개발을 강조하는 보고서를 발표했습니다.

약 79,000명의 사람들이 실제 "Pathoschild.Stardew.ModBuildConfig" 패키지를 다운로드했습니다. 이 악성 변종은 교묘한 수법으로 다운로드 횟수를 인위적으로 늘려 10만 건을 넘겼습니다. 2023년 10월 6일 다운로드 수를 인위적으로 늘렸습니다.

 

용의자 프로필 및 암호화 라이브러리 사칭


악성 패키지의 배후에 있는 사람은 허위 패키지를 배포한 전력이 있어 .NET 개발 커뮤니티에 대한 신뢰가 더욱 약화되었습니다. 이 시나리오에서는 동일한 프로필로 작성된 6개의 패키지가 210만 건 이상의 다운로드를 달성했습니다. 크라켄, 쿠코인, 솔라나, 모네로 등 다양한 암호화폐 서비스를 위한 라이브러리로 가장한 이 사기성 패키지 중 4개는 모두 SeroXen RAT를 배포하도록 설계되었습니다.


공격 시작


이 공격은 사기성 패키지를 설치하는 동안 시작됩니다. 이 절차는 "init.ps1"이라는 스크립트에 의존합니다. 이 스크립트는 더 이상 사용되지 않지만 NuGet 패키지를 설치할 때 경고 없이 여전히 작동합니다. 공격자는 "init.ps1" 스크립트에 임의의 명령을 입력할 수 있으며, 이 스크립트는 2023년 3월에 JFrog에 의해 이전에 노출된 바 있습니다.

Phylum이 분석한 기만적인 패키지 내에서 PowerShell 스크립트는 원격 서버에서 "x.bin"이라는 파일을 다운로드하는 데 사용됩니다. 이 파일은 실제로는 정교하게 위장한 Windows 배치 스크립트입니다. 이 스크립트는 다른 PowerShell 스크립트를 생성하고 실행하는 역할을 담당하며, 이 스크립트는 SeroXen RAT의 배포로 이어집니다.


SeroXen RAT: 자세히 살펴보기


SeroXen RAT는 파일 없는 원격 액세스 트로이 목마로, 평생 라이선스를 $60에 구입할 수 있습니다. 이 트로이 목마는 Quasar RAT, r77 루트킷 및 Windows 명령줄 애플리케이션 NirCmd의 조합으로 작동합니다. 이 조합은 사기꾼에게 광범위한 통제권을 제공할 뿐만 아니라
은밀하고 악의적인 행동.

이번 발견은 공격자가 오픈 소스 생태계를 악용하여 개발자를 표적으로 삼는 우려스러운 추세를 강조합니다. 이러한 생태계는 신뢰와 협업에 의존하기 때문에 악의적인 공격자의 악용에 취약합니다.


.NET을 넘어서는 위협 확장

 

이 위협의 중요성은 .NET 개발자 커뮤니티를 넘어서는 것입니다. .NET이 Linux 및 Mac 시스템에서 실행되도록 확장됨에 따라 더 많은 사용자가 사기성 패키지와 관련된 위험을 인식해야 합니다. 이러한 공격은 Windows가 아닌 플랫폼에서도 보안을 손상시킬 수 있습니다.

악성 악성 NuGet 패키지는 고립된 이벤트가 아닙니다. PyPI(Python 패키지 인덱스)에서도 비슷한 작업이 발견되었는데, 알리윈, AWS(Amazon Web Services), 텐센트 클라우드 등 잘 알려진 클라우드 서비스 제공업체의 실제 제품을 모방한 패키지가 발견되었습니다. 이러한 위조는 민감한 클라우드 자격 증명을 난독화된 외부 URL로 몰래 전달합니다.


공격 전략에서 미묘함의 중요성

 

이러한 공격의 두드러진 특징 중 하나는 공격자들이 사용하는 교묘함입니다. 공격자는 패키지의 원래 기능을 그대로 유지하면서 레이더망을 피하려는 의도를 가지고 있습니다. 이 공격은 최소한으로 간단하지만 매우 효과적입니다. 이러한 전술은 개발자가 기존 코드베이스에 대한 신뢰를 악용하는 데 중점을 둡니다.

이러한 사기성 패키지의 배후에 있는 공격자들은 특정 지역에 국한되지 않았습니다. 위조 라이브러리의 다운로드는 주로 미국에서 관찰되었으며 중국, 싱가포르, 홍콩, 러시아, 프랑스가 그 뒤를 이었습니다. 이러한 국제적 범위는 이러한 위협의 글로벌한 특성을 강조합니다.


개발자를 위한 지속적인 도전


이러한 사건은 소프트웨어 공급망을 손상시키기 위한 지속적이고 점점 더 정교해지는 캠페인의 일부입니다. 앞서 Checkmarx는 Windows 호스트에서 민감한 데이터와 암호화폐를 훔치도록 설계된 271개의 악성 Python 패키지로 PyPI에 침투한 캠페인을 폭로한 바 있습니다. 그래서
NuGet 종속성 보호 을 보호하는 것이 사이버 보안 전략의 최우선 순위가 되어야 합니다.

 

위협에 대한 대응


상황에 대한 업데이트에 따르면 "Disti"가 NuGet에 게시한 나머지 6개의 패키지(KucoinExchange.net, Kraken.Exchange, SolanaWallet, Modern.Winform.UI, Monero, DiscordsRpc)는 더 이상 사용할 수 없습니다. 이는 이러한 위협을 완화하기 위한 지속적인 노력을 반영한 것입니다. 


결론


악성 NuGet 패키지가 발견되었습니다.
SeroXen RAT 공격 은 오픈 소스 생태계의 위험성을 극명하게 보여주는 사례입니다. 개발자는 운영 체제에 관계없이 경계를 늦추지 말고 강력한 보안 관행을 채택해야 합니다. 강력한 보안 관행 프로젝트와 공급망의 무결성을 보호해야 합니다.

.NET 개발자를 위한 사이버 보안 는 오늘날의 디지털 환경에서 가장 중요한 관심사입니다. 디지털 위협이 한계를 모르는 세상에서 교육을 받는 것이 최선의 방어책입니다. Windows를 사용하는 .NET 개발자이든 다양한 플랫폼에서 작업하는 개발자이든 보안에 대한 경계를 늦추지 않는 것은 공동의 책임입니다. 사기성 패키지와 잠재적인 보안 위반으로부터 프로젝트를 신뢰하되 검증하고 보호하세요. 잠재적인 보안 침해.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스SC 미디어.

요약
경고: .NET 개발자를 대상으로 하는 NuGet 패키지 SeroXen RAT 위협
기사 이름
경고: .NET 개발자를 대상으로 하는 NuGet 패키지 SeroXen RAT 위협
설명
NuGet 패키지 SeroXen RAT 위협으로부터 .NET 프로젝트를 보호하세요. .NET 개발 환경에서 보안을 유지하는 방법을 알아보세요.
작성자
게시자 이름
턱시도 관리
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기