&emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Poppins&outline_colour=ffffff&coffee_colour=FFDD00)
Zlonamjerni NuGet paketi za koje se čini da imaju više od 2 milijuna preuzimanja oponašaju kripto novčanike, kripto razmjenu i Discord biblioteke kako bi zarazili programere trojancem za daljinski pristup SeroXen.
NuGet je upravitelj paketa otvorenog koda i sustav distribucije softvera koji upravlja poslužiteljima za hosting paketa kako bi korisnicima omogućio preuzimanje i korištenje za svoje razvojne projekte.
Zlonamjerne pakete koje je na NuGet postavio korisnik pod imenom ‘Disti’ otkrili su istraživači Phyluma, koji su danas objavili izvješće kako bi upozorili na prijetnju.
Napuhana autentičnost
Svih šest paketa u Distijevom repozitoriju sadrži istu XML datoteku koja preuzima ‘x.bin’, maskiranu Windows batch datoteku koja izvodi zlonamjerne aktivnosti na kompromitiranom sustavu.
Paketi oponašaju popularne projekte, razmjene i platforme kriptovaluta, čak sadrže i službene logotipe kako bi prevarili korisnike.
Šest paketa koje je Disti postavio na NuGet, a koji su još uvijek dostupni u vrijeme pisanja ovog teksta, su:
- Kraken.Exchange – 635 tisuća preuzimanja
- KucoinExchange.Net – 635 tisuća preuzimanja
- SolanaWallet – 600 tisuća preuzimanja
- Modern.Winform.UI – 100 tisuća preuzimanja
- Monero – 100 tisuća preuzimanja
- DiscordsRpc – 75 tisuća preuzimanja
Vjeruje se da su brojevi preuzimanja prenapuhani i možda nisu reprezentativni za doseg ovih paketa u NuGet zajednici.
Ipak, ovi brojevi preuzimanja učinkovito povećavaju percipiranu vjerodostojnost paketa, čineći da izgledaju kao originalne verzije aplikacija ili platformi koje impliciraju njihova imena.
Disti je možda povećao broj preuzimanja pomoću automatiziranih skripti, botneta, virtualnih strojeva ili spremnika u oblaku koji preuzimaju paket mnogo puta.
SeroXen RAT
Paketi uključuju dvije PowerShell skripte koje izvršavaju CMD i Batch datoteke tijekom instalacije na računalu žrtve.
Skripta preuzima datoteku s vanjskog URL-a, sprema je kao “.cmd” u privremeni direktorij i izvršava je bez prikazivanja bilo čega na zaslonu.
Ova skripta dohvaća drugu datoteku pod nazivom ‘x.bin’, koja je, unatoč svom nazivu, maskirana skupna skripta s preko 12 000 redaka, a svrha joj je konstruirati i izvršiti još jednu PowerShell skriptu.
Na kraju, ta konačna skripta čita dijelove iz cmd datoteke kako bi dešifrirala i dekomprimirala kodirani korisni teret iz sebe, za koji Phylum kaže da je SeroXen RAT.
Ovaj trojanac s udaljenim pristupom bogat značajkama reklamira se kao legitiman program i prodaje se za 15 USD mjesečno ili jednom “doživotnom” kupnjom od 60 USD.
U svibnju je AT&T izvijestio da SeroXen RAT postaje sve popularniji među kibernetičkim kriminalcima koji cijene njegove niske stope otkrivanja i moćne mogućnosti.
 &emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Comic&outline_colour=ffffff&coffee_colour=FFDD00)
