恶意的NuGet包似乎有超过200万的下载量,它模仿加密钱包、加密交换和Discord库,用ser公牛远程访问木马感染开发人员。
NuGet是一个开源包管理器和软件分发系统,它操作包托管服务器,使用户能够下载并在其开发项目中使用它们。
一个名为“Disti”的用户在NuGet上上传的恶意软件包被发现。
门
他们今天发表了一份报告,对这一威胁发出了警告。
膨胀的真实性
Disti存储库中的所有六个包都包含下载“x.bin”的相同XML文件,“x.bin”是一个经过混淆的Windows批处理文件,在受损的系统上执行恶意活动。
这些软件包模仿流行的加密货币项目、交易所和平台,甚至带有官方标志来欺骗用户。
这是由Disti上传到NuGet上的六个软件包,分别是
仍然可用
在撰写本文时,有:
- 海怪。交换mdash;635 k下载
- KucoinExchange。净即可;635 k下载
- SolanaWallet mdash;600 k下载
- Modern.Winform.UI mdash;100 k下载
- Monero mdash;100 k下载
- DiscordsRpc mdash;75 k下载
下载数字被认为是夸大的,可能不能代表这些软件包在NuGet社区的覆盖范围。
尽管如此,这些下载量有效地提高了软件包的可信度,使它们看起来像是名称所暗示的应用程序或平台的正版。
Disti可能会使用自动脚本、僵尸网络、虚拟机或云容器来夸大下载数字,这些容器会多次下载一个包。
血清鼠
这些软件包包含两个PowerShell脚本,在受害者的计算机上安装期间执行CMD和批处理文件。
该脚本从外部URL下载文件,并将其保存为“。Cmd”,然后在屏幕上不显示任何内容地执行它。
这个脚本获取另一个名为“x.bin”的文件,尽管它的名字,它是一个混淆的批处理脚本,有超过12000行,它的目的是构造和执行另一个PowerShell脚本。
最后,最后的脚本从cmd文件中读取部分内容,从自身内部解密并解压缩编码的有效载荷,Phylum称其为ser公牛RAT。
这个功能丰富的远程访问木马作为合法程序销售,售价为每月15美元,或一次性“终身”购买60美元。
今年5月,美国电话电报公司(at&t)报告称,ser公牛老鼠正在接受治疗。
越来越受欢迎
网络罪犯看重它的低侦测率和强大功能。
如若转载,请注明出处:https://www.ozabc.com/anquan/537051.html