NuGet spremište je meta novog “sofistikovanog i vrlo malicioznog napada” koji ima za cilj da zarazi .NET programerske sisteme malverom za krađu kriptovaluta.
13 lažnih paketa, koji su preuzeti više od 160.000 puta tokom prošlog mjeseca, od tada je uklonjeno.
“Paketi su sadržavali PowerShell skriptu koja bi se izvršila po instalaciji i pokrenula preuzimanje ‘druge faze’ korisnog učitavanja, koje bi se moglo daljinski izvršiti” rekli su istraživači JFrog-a Natan Nehorai i Brian Moussalli.
Dok je u prošlosti utvrđeno da NuGet paketi sadrže ranjivosti i da su bili zloupotrebljeni za propagiranje phishing linkova, razvoj označava prvo otkriće paketa sa malicioznim kodom.
Samo tri paketa koji se najviše preuzimaju, Coinbase.Core, Anarchy.Wrapper.Net i DiscordRichPresence.API imaju 166.000 preuzimanja, iako je moguće da su hakeri umjetno povećali broj preuzimanja koristeći botove kako bi izgledali legitimnije.
Upotreba Coinbase-a i Discord-a naglašava kontinuirano oslanjanje na tehnike kucanja, u kojima se lažnim paketima dodjeljuju imena koja su slična legitimnim paketima, kako bi se programeri naveli da ih preuzmu.
Maliciozni softver ugrađen u softverske pakete funkcioniše kao dropper skripta i dizajniran je za automatsko pokretanje PowerShell koda koji preuzima binarni program koji slijedi sa hard kodiranog servera.
Kao dodatni mehanizam zamagljivanja, neki paketi nisu direktno ugradili maliciozni payload, već su ga dohvatali putem drugog paketa zarobljenog u minu kao ovisnost.
Što još više zabrinjava, konekcija sa serverom za komandu i kontrolu (C2) odvija se preko HTTP-a (za razliku od HTTPS-a), što ga čini ranjivim na napad protivnik u sredini (AiTM).
Maliciozni softver druge faze je ono što JFrog opisuje kao “potpuno prilagođeno izvršno opterećenje” koje se može dinamički prebacivati po želji budući da se preuzima sa C2 servera.
Maliciozni softver, napisan na jeziku niske razine, pruža nekoliko mogućnosti koje uključuju krađu kriptovaluta i modul za automatsko ažuriranje koji pinguje C2 server za ažuriranu verziju malicioznog softvera.
Nalazi dolaze kada je lanac nabavke softvera postao sve unosniji put za kompromitovanje sistema programera i prikriveno propagiranje backdoor koda do korisnika na nižem nivou.
“Ovo dokazuje da nijedan repozitorijum otvorenog koda nije siguran od hakera” rekao je Shachar Menashe, viši direktor JFrog Security Research-a, u izjavi podijeljenoj za The Hacker News.
„.NET programeri koji koriste NuGet i dalje su izloženi velikom riziku od inficiranja malicioznog koda u njihovim okruženjima i trebali bi biti oprezni kada kuriraju komponente otvorenog koda za upotrebu u njihovim verzijama, i na svakom koraku životnog ciklusa razvoja softvera, kako bi osigurali da lanac nabavke softvera ostane siguran.”
Izvor: The Hacker News