Des chercheurs découvrent une nouvelle série de paquets malveillants publiés dans NuGet

La société ReversingLabs, spécialisée dans la sécurité de la chaîne d’approvisionnement des logiciels, a décrit cette campagne comme étant coordonnée et continue depuis le 1er août 2023, tout en la reliant à une série de paquets NuGet malveillants qui ont été observés en train de délivrer un cheval de Troie d’accès à distance appelé SeroXen RAT.

« Les acteurs de la menace qui se cachent derrière cette campagne sont tenaces dans leur désir d’introduire des logiciels malveillants dans le référentiel NuGet et de publier continuellement de nouveaux paquets malveillants », a déclaré Karlo Zanki, ingénieur inverse chez ReversingLabs, dans un rapport partagé avec The Hacker News.

Ces paquets, qui couvrent plusieurs versions, imitent des paquets populaires et exploitent la fonction d’intégration MSBuild de NuGet afin d’implanter du code malveillant sur leurs victimes, une fonction appelée « inline tasks » (tâches en ligne) qui permet d’exécuter du code.

« Il s’agit du premier exemple connu de logiciel malveillant publié sur le dépôt NuGet qui exploite cette fonction de tâches en ligne pour exécuter un logiciel malveillant », a déclaré M. Zanki.

Les paquets désormais supprimés présentent des caractéristiques similaires : les acteurs de la menace à l’origine de l’opération ont tenté de dissimuler le code malveillant en utilisant des espaces et des tabulations pour le déplacer hors de la vue de la largeur d’écran par défaut. Comme Phylum l’a révélé précédemment, les paquets ont également gonflé artificiellement le nombre de téléchargements pour les faire paraître plus légitimes. Le but ultime des paquets leurres est de servir de conduit pour récupérer une charge utile .NET de seconde étape hébergée sur un dépôt GitHub jetable.
« L’acteur de la menace à l’origine de cette campagne est prudent et attentif aux détails, et il est déterminé à maintenir cette campagne malveillante en vie et active », a déclaré M. Zanki.