Против .NET-разработчиков используют вредоносные пакеты NuGet - «Новости»

  • 10:30, 23-мар-2023
  • Новости / Изображения / Преимущества стилей / Заработок / Текст
  • Macey
  • 0

Эксперты JFrog предупредили, что злоумышленники атакуют разработчиков .NET через пакеты из репозитория NuGet и заражают их системы малварью, ворующей криптовалюту. Атакующие маскируют свои пакеты (три из них которых были загружены более 150 000 раз за месяц) под реально существующие популярные инструменты, используя тайпсквоттинг.


Исследователи отмечают, что большое количество загрузок может указывать на большое количество разработчиков, чьи системы были скомпрометированы, однако также нельзя исключать версию, что хакеры специально использовали ботов для искусственной накрутки «популярности» своих пакетов в NuGet.


Также отмечается, что злоумышленники использовали тайпсквоттинг при создании своих профилей в NuGet, и старались походить на разработчиков Microsoft. Список использованных хакерами пакетов можно увидеть ниже.







































































































Имя пакетаВладелецЗагрузкиОпубликованНастоящий пакет
Coinbase.CoreBinanceOfficial121 9002023-02-22Coinbase
Anarchy.Wrapper.NetOfficialDevelopmentTeam30 4002023-02-21Anarchy-Wrapper
DiscordRichPresence.APIOfficialDevelopmentTeam14 1002023-02-21DiscordRichPresence
Avalon-Net-CorejoeIverhagen12002023-01-03AvalonEdit
Manage.Carasel.NetOfficialDevelopmentTeam5592023-02-21N/A
Asip.Net.CoreBinanceOfficial2462023-02-22Microsoft.AspNetCore
Sys.Forms.26joeIverhagen2052023-01-03System.Windows.Forms
Azetap.APIDevNuget1532023-02-27N/A
AvalonNetCoreRahulMohammad672023-01-04AvalonEdit
Json.Manager.CoreBestDeveIopers462023-03-12Стандартное .NET имя
Managed.Windows.CoreMahamadRohu372023-01-05Стандартное .NET имя
Nexzor.Graphical.Designer.CoreImpala362023-03-12N/A
Azeta.APISoubata282023-02-24N/A

 


Вредоносные пакеты предназначались для загрузки и выполнения скрипта-дроппера на основе PowerShell (init.ps1), который настраивал зараженную машину на выполнение PowerShell без ограничений. На следующем этот этапе атаки скрипт загружал и запускал полезную нагрузку — исполняемый файл Windows, описанный исследователями как «полностью кастомный исполняемый пейлоад».


Эксперты говорят, что это весьма необычный подход, если сравнивать с другими злоумышленниками, которые чаше всего использую опенсорсные инструменты и стандартные вредоносные программы вместо того, чтобы создавать свои собственные полезные нагрузки.


Малварь, развернутая в итоге на скомпрометированных машинах, могла использоваться для кражи криптовалюты (путем эксфильтрации данных криптовалютных кошельков жертв через веб-хуки Discord), извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.


«Некоторые пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, а те уже содержали вредоносный скрипт», — говорят аналитики.


Эксперты JFrog предупредили, что злоумышленники атакуют разработчиков .NET через пакеты из репозитория NuGet и заражают их системы малварью, ворующей криптовалюту. Атакующие маскируют свои пакеты (три из них которых были загружены более 150 000 раз за месяц) под реально существующие популярные инструменты, используя тайпсквоттинг. Исследователи отмечают, что большое количество загрузок может указывать на большое количество разработчиков, чьи системы были скомпрометированы, однако также нельзя исключать версию, что хакеры специально использовали ботов для искусственной накрутки «популярности» своих пакетов в NuGet. Также отмечается, что злоумышленники использовали тайпсквоттинг при создании своих профилей в NuGet, и старались походить на разработчиков Microsoft. Список использованных хакерами пакетов можно увидеть ниже. Имя пакета Владелец Загрузки Опубликован Настоящий пакет Coinbase.Core BinanceOfficial 121 900 2023-02-22 Coinbase Anarchy.Wrapper.Net OfficialDevelopmentTeam 30 400 2023-02-21 Anarchy-Wrapper DiscordRichPresence.API OfficialDevelopmentTeam 14 100 2023-02-21 DiscordRichPresence Avalon-Net-Core joeIverhagen 1200 2023-01-03 AvalonEdit Manage.Carasel.Net OfficialDevelopmentTeam 559 2023-02-21 N/A Asip.Net.Core BinanceOfficial 246 2023-02-22 Microsoft.AspNetCore Sys.Forms.26 joeIverhagen 205 2023-01-03 System.Windows.Forms Azetap.API DevNuget 153 2023-02-27 N/A AvalonNetCore RahulMohammad 67 2023-01-04 AvalonEdit Json.Manager.Core BestDeveIopers 46 2023-03-12 Стандартное .NET имя Managed.Windows.Core MahamadRohu 37 2023-01-05 Стандартное .NET имя Nexzor.Graphical.Designer.Core Impala 36 2023-03-12 N/A Azeta.API Soubata 28 2023-02-24 N/A Вредоносные пакеты предназначались для загрузки и выполнения скрипта-дроппера на основе PowerShell (init.ps1), который настраивал зараженную машину на выполнение PowerShell без ограничений. На следующем этот этапе атаки скрипт загружал и запускал полезную нагрузку — исполняемый файл Windows, описанный исследователями как «полностью кастомный исполняемый пейлоад». Эксперты говорят, что это весьма необычный подход, если сравнивать с другими злоумышленниками, которые чаше всего использую опенсорсные инструменты и стандартные вредоносные программы вместо того, чтобы создавать свои собственные полезные нагрузки. Малварь, развернутая в итоге на скомпрометированных машинах, могла использоваться для кражи криптовалюты (путем эксфильтрации данных криптовалютных кошельков жертв через веб-хуки Discord), извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера. «Некоторые пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, а те уже содержали вредоносный скрипт», — говорят аналитики.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!