开发者们每天依赖的包管理器,正在成为攻击者最隐蔽的渗透渠道。安全研究团队Socket.dev最新发现,NuGet生态系统中出现了五款精心伪装的恶意包,累计下载量约64,784次——它们没有使用常见的可疑命名,而是直接嫁接在真实的中国企业级开发工具之上。
攻击者注册了一个名为bmrxntfj的NuGet账户,从2025年9月起持续发布恶意版本。这些包模仿AntdUI等流行的WinForms组件库,外观与正版几乎无异。更棘手的是版本轮换策略:224个总版本中,219个被刻意隐藏,每次仅保留一个版本公开可见。这种设计让基于哈希值的检测机制失效,安全团队不得不疲于更新拦截清单。
恶意代码的触发机制利用了.NET的模块初始化器特性——当程序集加载时,运行时自动调用,无需任何用户交互。一旦激活,恶意软件通过JIT钩子替换编译器的调度指针,从而控制后续编译的每一个方法。随后释放的第二阶段窃密程序we4ftg.exe开始工作。
窃取目标覆盖多个高价值领域。浏览器方面,12款Chromium内核浏览器(Chrome、Edge、Brave、Firefox、Opera等)的保存密码、自动填充数据、会话Cookie和支付卡信息均被提取,包括传统加密和AppBound两种Chrome格式。加密货币钱包是重点攻击对象:浏览器扩展包括MetaMask、TronLink、Phantom、Trust Wallet、Coinbase Wallet;桌面应用涵盖Exodus、Electrum、Atomic、Guarda、Ledger、Binance。此外,SSH私钥、Outlook配置文件、Steam凭证以及Documents、Desktop、Downloads文件夹的文件也在收集范围内。
所有窃取的数据被暂存在一个伪装成Microsoft OneDrive目录的文件夹路径下。安全研究人员指出,正版OneDrive绝不会创建该特定名称的文件,这成为识别感染的关键指标。由于攻击从2025年9月持续至今,任何在此期间执行过包还原操作的开发工作站或CI/CD构建服务器都可能已暴露——这种长周期、高下载量的组合,使其成为今年最具破坏性的供应链威胁之一。
热门跟贴