22/03/23
Исследователи безопасности JFrog обнаружили продолжающуюся кампанию , в ходе которой злоумышленники заражают .NET-разработчиков с помощью похитителей криптовалюты, доставляемых через репозиторий NuGet и выдающих себя за легитимные пакеты.
По словам специалистов JFrog, 3 вредоносных пакета были загружены более 150 000 раз в течение месяца. Однако, не стоит забывать, что киберпреступники могли искусственно увеличить количество загрузок с помощью ботов, чтобы пакеты вызывали доверие у пользователей, пишут в Securitylab.
Злоумышленники также использовали метод «Тайпсквоттинг» (Typosquatting) при создании своих профилей репозитория NuGet, чтобы выдать себя разработчиков ПО Microsoft, работающих над диспетчером .NET-пакетов NuGet.
Вредоносные пакеты предназначены для загрузки и выполнения сценария дроппера на основе PowerShell (init.ps1), который настраивает зараженную машину на выполнение PowerShell без ограничений.
Исследователи пояснили, что такое поведение крайне редко встречается за пределами вредоносных пакетов, особенно если принять во внимание политику «неограниченного» выполнения, которая должна немедленно вызвать тревожный сигнал.
На следующем этапе дроппер загружает и запускает полезную нагрузку второго этапа, исполняемый файл Windows, описанный JFrog как «полностью настраиваемая исполняемая полезная нагрузка».
Вредоносное ПО используется для кражи криптовалюты путем эксфильтрации криптокошельков жертв с помощью веб-хуков Discord, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления путем запроса к C2-серверу.
Эксперты добавили, что некоторые пакеты не содержали прямой вредоносной полезной нагрузки. Вместо этого они определяли другие вредоносные пакеты как зависимости, которые содержали вредоносный скрипт.
Полезные нагрузки, доставленные в ходе этой атаки, имеют очень низкий уровень обнаружения и не будут отмечены Microsoft Defender как вредоносные.
Эта атака является частью более широкой кампании, в ходе которой хакеры загрузили более 144 000 вредоносных пакетов в репозитории NPM, PyPi и NuGet . Пакеты имели схожие описания и вели к одному и тому же кластеру из 90 доменов, на которых было размещено более 65 000 фишинговых страниц.
