تم الكشف عن 60 حزمة ضارة جديدة في هجوم سلسلة التوريد NuGet
وقد لوحظ أن الجهات الفاعلة في مجال التهديد تنشر موجة جديدة من الحزم الضارة إلى مدير حزم NuGet كجزء من حملة مستمرة بدأت في أغسطس 2023، مع إضافة طبقة جديدة من التخفي لتجنب الكشف.
وقالت شركة أمن سلسلة توريد البرمجيات ReversingLabs، إن الحزم الجديدة، التي يبلغ عددها حوالي 60 وتمتد على 290 إصدارًا، تُظهر نهجًا محسّنًا من المجموعة السابقة التي ظهرت إلى النور في أكتوبر 2023.
تحول المهاجمون من استخدام تكاملات MSBuild الخاصة بـ NuGet إلى “إستراتيجية تستخدم أدوات تنزيل بسيطة ومبهمة يتم إدراجها في ملفات PE الثنائية المشروعة باستخدام Intermediary Language (IL) Weaving، وهي تقنية برمجة .NET لتعديل كود التطبيق بعد التجميع،” باحث أمني. كارلو زانكي قال.
الهدف النهائي للحزم المزيفة، القديمة والجديدة على حد سواء، هو تقديم حصان طروادة جاهز للوصول عن بعد يسمى SeroXen RAT. وقد تم منذ ذلك الحين إزالة جميع الطرود التي تم تحديدها.
تتميز أحدث مجموعة من الحزم باستخدام تقنية جديدة تسمى إيل النسيج مما يجعل من الممكن حقن وظائف ضارة في الملف الثنائي Portable Executable (PE) .NET المرتبط بحزمة NuGet الشرعية.
يتضمن ذلك أخذ حزم شائعة مفتوحة المصدر مثل Guna.UI2.WinForms وتصحيحها بالطريقة المذكورة آنفًا لإنشاء حزمة محتالة تسمى “Gẽa.UI3.Wīnfërms،” والتي تستخدم الحروف المتجانسة لاستبدال الأحرف “u” و”n” و”i” و”o” بما يعادلها “ώ”. ” (\u057D)، “Ḹ” (\u0578)، “i” (\u0456). و “ë” (\u0585).
وقال زانكي: “يعمل القائمون على التهديد باستمرار على تطوير الأساليب والتكتيكات التي يستخدمونها للتوصل إلى تسوية وإصابة ضحاياهم ببرامج ضارة تستخدم لاستخراج البيانات الحساسة أو تزويد المهاجمين بالسيطرة على أصول تكنولوجيا المعلومات”.
“تسلط هذه الحملة الأخيرة الضوء على الطرق الجديدة التي يخطط بها الممثلون الخبيثون لخداع المطورين وكذلك فرق الأمان لتنزيل واستخدام حزم ضارة أو التلاعب بها من مديري الحزم المشهورين مفتوح المصدر مثل NuGet.”
إرسال التعليق