软件供应链危急扎顿发作。60 个恶意软件包“入侵”NuGet 供应链;GitLab 关键毛病曝光;npm、GitHub 和 jsDelivr 惊现被木马化的 jQuery 包 | 安全周报0712
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9ibG9nX21pZ3JhdGUvMjY3MjdmMzM3NWY2NTRlNTcxZGZiODg3YTIzYTkzOWMucG5nI3BpY19jZW50ZXI=消息1:60 个恶意软件包“入侵”NuGet 供应链,你的软件还安全吗?
自2023年8月开始的连续运动中,威胁举动者被发现向NuGet包管理器发布了一系列新的恶意软件包,同时还增长了一个新的潜伏层以躲避检测。
软件供应链安全公司ReversingLabs体现,新发现的软件包约有60个,涵盖290个版本,与2023年10月曝光的前一批软件包相比,这些软件包展示了更为风雅的本领。
安全研究员Karlo Zanki体现,攻击者从利用NuGet的MSBuild集成转向了“一种计谋,该计谋利用简单的、颠末肴杂的下载器,这些下载器利用中心语言(IL)编织技能插入到正当的PE二进制文件中,这是一种在编译后修改应用步调代码的.NET编程技能。”
新旧假冒软件包的终极目标都是交付一个现成的远程访问木马,名为SeroXen RAT。全部已确定的软件包都已被删除。
最新一批软件包的特点是利用了一种称为IL编织的新技能,该技能可以将恶意功能注入到从正当NuGet软件包中获取的正当可移植实验文件(PE).NET二进制文件中。
这包罗接纳盛行的开源软件包,如Guna.UI2.WinForms,并利用上述方法对其举行修补,以创建一个名为“Gս翅a.UI3.Wіnfօrms”的假冒软件包,此中利用同形笔墨将字母“u”、“n”、“i”和“o”更换为等效的“ս”(\u057D)、“翅”(\u0578)、“і”(\u0456)和“օ”(\u0585)。
技能关键词:NuGet供应链攻击、恶意软件包、MSBuild集成、中心语言(IL)编织技能、.NET编程技能、远程访问木马(RAT)、同形笔墨
页:
[1]