Para aktor ancaman terpantau menerbitkan gelombang baru paket berbahaya di pengelola paket NuGet sebagai bagian dari kampanye yang dimulai pada Agustus 2023, dengan menambahkan lapisan penyamaran baru untuk menghindari deteksi.
Paket-paket baru ini, sekitar 60 jumlahnya dan mencakup 290 versi, menunjukkan pendekatan yang lebih halus dibandingkan set sebelumnya yang terungkap pada Oktober 2023, menurut perusahaan keamanan rantai pasokan perangkat lunak ReversingLabs.
Keamanan Siber
Para penyerang beralih dari menggunakan integrasi MSBuild NuGet ke “strategi yang menggunakan pengunduh sederhana dan tersamarkan yang disisipkan ke dalam file PE binary sah menggunakan IL Weaving, teknik pemrograman .NET untuk memodifikasi kode aplikasi setelah kompilasi,” kata peneliti keamanan Karlo Zanki.
Tujuan akhir dari paket-paket palsu ini, baik yang lama maupun yang baru, adalah untuk mengirimkan remote access trojan bernama SeroXen RAT. Semua paket yang teridentifikasi telah dihapus.
Serangan Rantai Pasokan NuGet
Koleksi paket terbaru ini ditandai dengan penggunaan teknik baru yang disebut IL weaving yang memungkinkan penyisipan fungsi berbahaya ke dalam binary .NET PE yang terkait dengan paket NuGet sah.
Ini termasuk mengambil paket open-source populer seperti Guna.UI2.WinForms dan menambalnya dengan metode yang disebutkan sebelumnya untuk membuat paket tiruan yang diberi nama “Gսոa.UI3.Wіnfօrms,” yang menggunakan homoglyphs untuk menggantikan huruf “u,” “n,” “i,” dan “o” dengan padanannya “ս” (\u057D), “ո” (\u0578), “і” (\u0456), dan “օ” (\u0585).
Keamanan Siber
“Para aktor ancaman terus mengembangkan metode dan taktik yang mereka gunakan untuk mengkompromikan dan menginfeksi korban mereka dengan kode berbahaya yang digunakan untuk mengekstrak data sensitif atau memberikan penyerang kontrol atas aset IT,” kata Zanki.
“Komplikasi terbaru ini menyoroti cara-cara baru di mana aktor jahat berusaha mengecoh pengembang serta tim keamanan untuk mengunduh dan menggunakan paket berbahaya atau yang telah diubah dari pengelola paket open source populer seperti NuGet.”