Новости Против .NET-разработчиков используют вредоносные пакеты NuGet

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.278
Репутация
11.800
Реакции
61.983
RUB
50
Эксперты JFrog , что злоумышленники атакуют разработчиков .NET через пакеты из репозитория NuGet и заражают их системы малварью, ворующей криптовалюту.


Атакующие маскируют свои пакеты (три из них которых были загружены более 150 000 раз за месяц) под реально существующие популярные инструменты, используя тайпсквоттинг.

Исследователи отмечают, что большое количество загрузок может указывать на большое количество разработчиков, чьи системы были скомпрометированы, однако также нельзя исключать версию, что хакеры специально использовали ботов для искусственной накрутки «популярности» своих пакетов в NuGet.

Также отмечается, что злоумышленники использовали тайпсквоттинг при создании своих профилей в NuGet, и старались походить на разработчиков Microsoft. Список использованных хакерами пакетов можно увидеть ниже.

Имя пакетаВладелецЗагрузкиОпубликованНастоящий пакет
Coinbase.Core 121 9002023-02-22
Anarchy.Wrapper.Net 30 4002023-02-21
DiscordRichPresence.API 14 1002023-02-21
Avalon-Net-Core 12002023-01-03
Manage.Carasel.Net 5592023-02-21N/A
Asip.Net.Core 2462023-02-22
Sys.Forms.26 2052023-01-03
Azetap.API 1532023-02-27N/A
AvalonNetCore 672023-01-04
Json.Manager.Core 462023-03-12Стандартное .NET имя
Managed.Windows.Core 372023-01-05Стандартное .NET имя
Nexzor.Graphical.Designer.Core 362023-03-12N/A
Azeta.API 282023-02-24N/A

Вредоносные пакеты предназначались для загрузки и выполнения скрипта-дроппера на основе PowerShell (init.ps1), который настраивал зараженную машину на выполнение PowerShell без ограничений. На следующем этот этапе атаки скрипт загружал и запускал полезную нагрузку — исполняемый файл Windows, описанный исследователями как «полностью кастомный исполняемый пейлоад».

Эксперты говорят, что это весьма необычный подход, если сравнивать с другими злоумышленниками, которые чаше всего использую опенсорсные инструменты и стандартные вредоносные программы вместо того, чтобы создавать свои собственные полезные нагрузки.

Малварь, развернутая в итоге на скомпрометированных машинах, могла использоваться для кражи криптовалюты (путем эксфильтрации данных криптовалютных кошельков жертв через веб-хуки Discord), извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.

«Некоторые пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, а те уже содержали вредоносный скрипт», — говорят аналитики.

 
Сверху Снизу