Các tác nhân đe dọa đã được quan sát thấy xuất bản một làn sóng gói độc hại mới cho trình quản lý gói NuGet như một phần của chiến dịch đang diễn ra bắt đầu vào tháng 8/2023, đồng thời thêm một lớp tàng hình mới để tránh bị phát hiện.
Các gói mới, khoảng 60 về số lượng và trải dài 290 phiên bản, thể hiện cách tiếp cận tinh tế so với bộ trước đó được đưa ra ánh sáng vào tháng 10/2023, công ty bảo mật chuỗi cung ứng phần mềm ReversingLabs cho biết.
Những kẻ tấn công đã xoay trục từ việc sử dụng tích hợp MSBuild của NuGet sang "một chiến lược sử dụng các trình tải xuống đơn giản, xáo trộn được chèn vào các tệp nhị phân PE hợp pháp bằng cách sử dụng Ngôn ngữ trung gian (IL) Weaving, một kỹ thuật lập trình .NET để sửa đổi mã của ứng dụng sau khi biên dịch", nhà nghiên cứu bảo mật Karlo Zanki cho biết.
Mục tiêu cuối cùng của các gói hàng giả, cả cũ và mới, là cung cấp một trojan truy cập từ xa có sẵn được gọi là SeroXen RAT. Tất cả các gói được xác định đã được gỡ xuống.
Bộ sưu tập các gói mới nhất được đặc trưng bởi việc sử dụng một kỹ thuật mới gọi là dệt IL cho phép tiêm chức năng độc hại vào tệp nhị phân .NET thực thi di động (PE) được liên kết với gói NuGet hợp pháp.
Điều này bao gồm lấy các gói mã nguồn mở phổ biến như Guna.UI2.WinForms và vá nó bằng phương pháp nói trên để tạo một gói mạo danh có tên là "Gսոa.UI3.Wіnfօrms", sử dụng từ đồng âm để thay thế các chữ cái "u", "n", "i" và "o" bằng các từ tương đương "ս" (\u057D), "ո" (\u0578), "і" (\u0456). và "օ" (\u0585).
"Các tác nhân đe dọa liên tục phát triển các phương pháp và chiến thuật mà chúng sử dụng để thỏa hiệp và lây nhiễm nạn nhân bằng mã độc được sử dụng để trích xuất dữ liệu nhạy cảm hoặc cung cấp cho kẻ tấn công quyền kiểm soát tài sản CNTT", Zanki nói.
"Chiến dịch mới nhất này nêu bật những cách thức mới trong đó các tác nhân độc hại đang âm mưu đánh lừa các nhà phát triển cũng như các nhóm bảo mật tải xuống và sử dụng độc hại hoặc giả mạo các gói từ các trình quản lý gói nguồn mở phổ biến như NuGet."