Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Erneut bösartige Pakete in NuGet-Lieferkette

Im NuGet-Paketmanager wurden erneut bösartige Pakete entdeckt, die den Remote Access Trojaner SeroXen RAT verbreiten. Diese Pakete nutzen raffinierte Techniken, um der Erkennung zu entgehen, und stellen daher eine ernsthafte Bedrohung für Entwickler und Unternehmen dar.

Lesezeit 1 Min.

Die neuen Pakete, etwa 60 an der Zahl mit insgesamt 290 Versionen, zeigen einen verfeinerten Ansatz im Vergleich zu den im Oktober 2023 aufgedeckten. Das hat das auf Softwarelieferketten spezialisierte Sicherheitsunternehmen ReversingLabs festgestellt. „Die Angreifer haben ihre Taktik geändert und nutzen nun einfache, verschleierte Downloader, die in legitime PE-Binärdateien eingebettet werden. Dies geschieht mit der .NET-Programmiermethode Intermediary Language (IL) Weaving, die den Code einer Anwendung nach der Kompilierung modifiziert“, so der Sicherheitsexperte Karlo Zanki.

Das Ziel dieser gefälschten Pakete – und zwar der alten genauso wie der neuen, ist es, den Remote Access Trojaner SeroXen RAT zu verbreiten. Alle identifizierten Pakete wurden inzwischen entfernt.

Die neuesten Pakete nutzen IL Weaving, um bösartige Funktionen in eine Portable Executable (PE) .NET-Binärdatei eines legitimen NuGet-Pakets zu injizieren. Dazu gehört das beliebte Open-Source-Paket Guna.UI2.WinForms, das mit dieser Methode zu einem gefälschten Paket verändert wurde, das jetzt „Gսոa.UI3.Wіnfօrms“ heißt. Hierbei wurden die Buchstaben „u,“ „n,“ „i,“ und „o“ durch Homoglyphen ersetzt: „ս“ (\u057D), „ո“ (\u0578), „і“ (\u0456) und „օ“ (\u0585). „Bedrohungsakteure entwickeln ständig neue Methoden und Taktiken, um Opfer mit bösartigem Code zu infizieren, der sensible Daten stiehlt oder den Angreifern die Kontrolle über IT-Systeme verschafft,“ sagte Zanki. „Diese neueste Kampagne zeigt, wie bösartige Akteure versuchen, Entwickler und Sicherheitsteams zu täuschen, indem sie bösartige oder manipulierte Pakete von populären Open-Source-Paketmanagern wie NuGet verwenden.“