6 октября 2023 г. автоматическая платформа обнаружения рисков Phylum предупредила о подозрительной публикации на NuGet. Пройдя через несколько уровней обфускации, Phylum обнаружили, что этот пакет поставляет SeroXen RAT.
Рассматриваемый пакет - Pathoschild.Stardew.Mod.Build.Config, опубликованный пользователем Disti. Пакет является опечаткой легитимного пакета Pathoschild.Stardew.ModBuildConfig. Обратите внимание на отсутствие точек в части "ModBuildConfig" - в легитимном пакете точек нет.
Легитимный пакет существует с 2016 года, содержит десятки версий и имеет около 79 тыс. общих загрузок. Вредоносный пакет был впервые выпущен 6 октября 2023 года и имеет три версии со следующей статистикой загрузок:
Стоит отметить, что крайне маловероятно, что этот пакет за несколько дней законно набрал 100 тыс. загрузок. На самом деле, если просмотреть статистику загрузок по имени клиента, то окажется, что 100 054 загрузки из общего числа были сделаны клиентом под именем "unknown". Скорее всего, это некая схема увеличения количества загрузок для повышения авторитета. Согласно NuGet-профилю Disti, у него есть 6 пакетов с общим количеством загрузок 2,1 млн.
Опять же, скорее всего, Phylum наблюдаем некую схему инфляции загрузок. Я уверен, что вероятность того, что количество загрузок будет почти равномерно распределено по трем версиям всего за 2 дня, очень мала. Мы проверили другие пакеты Disti и обнаружили, что все они пытаются развернуть SeroXen, поэтому не стоит обращать внимания на все, что публикует этот пользователь.
Indicators of Compromise
MD5
- 224a95930c789d514790682054ff1605
- 3378db6f9c6db3c9202cbc948a91d8d0
- bd7cba9046993eafbfe9eb0de6f5aadb
SHA1
- 62f688d5550bc07facc5fa19c454cdd7b44421c5
- af0adf1e9a6310e7a13898ed27cb7624709b8344
- e7e0027295b52a0e6ab8828bca00b7529f646204
SHA256
- 075acd923103e731e91140e663756699e7379a7f63ea31487434ce04cca02b02
- 8bf56c92865fade8d06d4a57e1d049bccd3041842b2a1c71503a29729a71073d
- e7dc6a2f0c65a2c6f3d7cc2a11c3fd2acb4e23af1e55a8769366766ee22278c3
