恶意 NuGet 软件包被发现传播 SeroXen RAT 恶意软件

网络安全研究人员发现了一组新的恶意软件包，这些软件包使用一种鲜为人知的恶意软件部署方法发布到 NuGet 软件包管理器上。

软件供应链安全公司 ReversingLabs 称，该活动自 2023 年 8 月 1 日以来一直在持续进行，同时将其与大量流氓 NuGet 软件包联系起来，这些软件包被观察到正在传播一种名为 SeroXen RAT 的远程访问木马。

ReversingLabs 的反向工程师 Karlo Zanki 在一份报告中说：幕后的威胁行为者执着地希望将恶意软件植入 NuGet 存储库，并不断发布新的恶意软件包。

部分软件包的名称如下

Pathoschild.Stardew.Mod.Build.Config

KucoinExchange.Net

Kraken.Exchange

DiscordsRpc

SolanaWallet

Monero

Modern.Winform.UI

MinecraftPocket.Server

IAmRoot

ZendeskApi.Client.V2

Betalgo.Open.AI

Forge.Open.AI

Pathoschild.Stardew.Mod.BuildConfig

CData.NetSuite.Net.Framework

CData.Salesforce.Net.Framework

CData.Snowflake.API

这些软件包跨越多个版本，模仿流行软件包并利用 NuGet 的 MSBuild 集成功能植入恶意代码，以实现代码执行。

恶意 NuGet 软件包

Zanki说：这是第一个已知的利用内联任务功能在NuGet软件库中发布恶意软件并执行的例子。

现在被删除的软件包表现出了类似的特征，即幕后的威胁者试图利用空格和制表符来隐藏恶意代码，使其脱离默认屏幕宽度的视野。

正如 Phylum 此前披露的那样，这些软件包还人为刷大了下载次数，使其看起来更合法。Zanki 说：这一活动背后的威胁行为者非常谨慎，注重细节，并决心让这一恶意活动保持活跃。