Эксперты JFrog предупредили, что злоумышленники атакуют разработчиков .NET через пакеты из репозитория NuGet и заражают их системы малварью, ворующей криптовалюту. Атакующие маскируют свои пакеты (три из них которых были загружены более 150 000 раз за месяц) под реально существующие популярные инструменты, используя тайпсквоттинг.

Исследователи отмечают, что большое количество загрузок может указывать на большое количество разработчиков, чьи системы были скомпрометированы, однако также нельзя исключать версию, что хакеры специально использовали ботов для искусственной накрутки «популярности» своих пакетов в NuGet.

Также отмечается, что злоумышленники использовали тайпсквоттинг при создании своих профилей в NuGet, и старались походить на разработчиков Microsoft. Список использованных хакерами пакетов можно увидеть ниже.

Имя пакета Владелец Загрузки Опубликован Настоящий пакет
Coinbase.Core BinanceOfficial 121 900 2023-02-22 Coinbase
Anarchy.Wrapper.Net OfficialDevelopmentTeam 30 400 2023-02-21 Anarchy-Wrapper
DiscordRichPresence.API OfficialDevelopmentTeam 14 100 2023-02-21 DiscordRichPresence
Avalon-Net-Core joeIverhagen 1200 2023-01-03 AvalonEdit
Manage.Carasel.Net OfficialDevelopmentTeam 559 2023-02-21 N/A
Asip.Net.Core BinanceOfficial 246 2023-02-22 Microsoft.AspNetCore
Sys.Forms.26 joeIverhagen 205 2023-01-03 System.Windows.Forms
Azetap.API DevNuget 153 2023-02-27 N/A
AvalonNetCore RahulMohammad 67 2023-01-04 AvalonEdit
Json.Manager.Core BestDeveIopers 46 2023-03-12 Стандартное .NET имя
Managed.Windows.Core MahamadRohu 37 2023-01-05 Стандартное .NET имя
Nexzor.Graphical.Designer.Core Impala 36 2023-03-12 N/A
Azeta.API Soubata 28 2023-02-24 N/A

 

Вредоносные пакеты предназначались для загрузки и выполнения скрипта-дроппера на основе PowerShell (init.ps1), который настраивал зараженную машину на выполнение PowerShell без ограничений. На следующем этот этапе атаки скрипт загружал и запускал полезную нагрузку — исполняемый файл Windows, описанный исследователями как «полностью кастомный исполняемый пейлоад».

Эксперты говорят, что это весьма необычный подход, если сравнивать с другими злоумышленниками, которые чаше всего использую опенсорсные инструменты и стандартные вредоносные программы вместо того, чтобы создавать свои собственные полезные нагрузки.

Малварь, развернутая в итоге на скомпрометированных машинах, могла использоваться для кражи криптовалюты (путем эксфильтрации данных криптовалютных кошельков жертв через веб-хуки Discord), извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.

«Некоторые пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, а те уже содержали вредоносный скрипт», — говорят аналитики.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии