Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Impala Stealer: очередной похититель криптовалюты атакует разработчиков, на этот раз через платформу NuGet

12/04/23

NUGET-400x280

Исследователи кибербезопасности недавно обнаружили вредоносное ПО для кражи криптовалюты, которое распространялось через платформу для разработчиков NuGet под видом 13 поддельных пакетов. Об этом пишет Securitylab.

Изощренная тайпсквоттинг-кампания, подробно описанная специалистами JFrog, заключалась в выдаче злоумышленниками своей вредоносной программы за популярные легитимные пакеты, часто используемые разработчиками. Эффект достигался путём копирования названий этих популярных пакетов, пусть и с небольшими изменениями. А так как даже легитимные пакеты зачастую имеют сложные названия, разработчикам ничего не стоит случайно спутать пакеты и загрузить на компьютер именно вредонос.

Двухэтапная атака завершалась развертыванием постоянного бэкдора «Impala Stealer» на основе .NET, способного получать несанкционированный доступ к учётным записям криптовалютных кошельков жертв.

«Полезная нагрузка использовала очень редкую технику обфускации, называемую «.NET AoT Compilation», которая намного более скрытна, чем использование «готовых» обфускаторов, но при этом затрудняет реверс-инжиниринг двоичного кода», — заявили представители JFrog.

.NET AoT Compilation — это метод оптимизации, позволяющий заблаговременно компилировать приложения в машинный код. Нативные AoT-приложения быстрее запускаются и требуют меньше памяти, а также могут работать на компьютере без установленной среды выполнения .NET.

Полезная нагрузка второго этапа поставляется с механизмом автоматического обновления, который позволяет получать новые версии исполняемого файла из удаленного расположения. Кроме того, механизм обеспечивает постоянство вредоноса в системе жертвы путем внедрения JavaScript-кода в приложения Discord или Microsoft Visual Studio Code, тем самым активируя запуск двоичного файла стилера.

Затем двоичный файл приступает к поиску установленного десктопного приложения Exodus Wallet и вставляет JavaScript-код в различные HTML-файлы, чтобы собирать и эксфильтровать конфиденциальные данные в жёстко запрограммированный веб-перехватчик Discord.

«Злоумышленники использовали методы тайпсквоттинга для развертывания пользовательской вредоносной полезной нагрузки, нацеленной на криптокошелек Exodus», — сказал Шачар Менаше, старший директор JFrog Security Research.

Загрузка вредоносных пакетов на платформы, используемые разработчиками, уже стала обыденностью. Например, незадолго до отчёта JFrog исследователи из компании Phylum обнаружили вредоносный пакет с именем mathjs-min в сервисе NPM. Пакет содержал похититель учётных данных, который захватывал пароли из официального приложения Discord, а также веб-браузеров, таких как Google Chrome, Brave и Opera.

«Наше расследование доказывает, что ни один репозиторий программного обеспечения с открытым исходным кодом не заслуживает полного доверия, поэтому необходимо принимать меры безопасности на каждом этапе жизненного цикла разработки программного обеспечения, чтобы обеспечить безопасность цепочки поставок программного обеспечения», подытожили специалисты JFrog.

Темы:криптовалютаПреступленияJavaScriptDiscordJFrog
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Сущность и риски NFT
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    NFT – это цифровые активы с запрограммированной редкостью, они идеально подходят для представления прав собственности на виртуальные активы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...