NuGet – 奇安信技术研究院

NuGet

【天问】NuGet生态发现万圣节恶搞（恶意）包

技术报告NuGet, 恶意软件 2023年10月31日2024年1月15日

今日，奇安信技术研究院“天问”软件供应链安全监测平台监测到NuGet生态中有用户发布了包含自动执行脚本的包 Danger.ScriptExec-Vulnerable。我们通过平台对该包进行了动态行为分析，发现在安装该包的时候存在使用无痕浏览打开网页以及无限弹窗的情况。结合静态代码分析，我们认为该包仅仅是为了万圣节恶搞而发布，不存在其他恶意行为。

【天问】NuGet恶意代码自动执行原理解析

技术报告NuGet, 恶意代码分析 2023年9月5日2024年1月16日

本文通过分析近期出现的具有隐私泄漏行为的Moq包与其依赖包Devlooped.SponsorLink的代码，探究其使用.NET Compiler Platform（“Roslyn”）SDK 提供的分析器自动执行代码的原理。并进一步探讨分析器在软件供应链安全上的隐患以及开发过程中可使用的避免措施。