Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вредоносные пакеты NuGet с 150 000 загрузками заражают .NET-разработчиков

22/03/23

hack145-1

Исследователи безопасности JFrog обнаружили продолжающуюся кампанию , в ходе которой злоумышленники заражают .NET-разработчиков с помощью похитителей криптовалюты, доставляемых через репозиторий NuGet и выдающих себя за легитимные пакеты.

По словам специалистов JFrog, 3 вредоносных пакета были загружены более 150 000 раз в течение месяца. Однако, не стоит забывать, что киберпреступники могли искусственно увеличить количество загрузок с помощью ботов, чтобы пакеты вызывали доверие у пользователей, пишут в Securitylab.

Злоумышленники также использовали метод «Тайпсквоттинг» (Typosquatting) при создании своих профилей репозитория NuGet, чтобы выдать себя разработчиков ПО Microsoft, работающих над диспетчером .NET-пакетов NuGet.

g80rkc5a4fybpak5i05toh5jiichkggp

Вредоносные пакеты предназначены для загрузки и выполнения сценария дроппера на основе PowerShell (init.ps1), который настраивает зараженную машину на выполнение PowerShell без ограничений.

Исследователи пояснили, что такое поведение крайне редко встречается за пределами вредоносных пакетов, особенно если принять во внимание политику «неограниченного» выполнения, которая должна немедленно вызвать тревожный сигнал.

На следующем этапе дроппер загружает и запускает полезную нагрузку второго этапа, исполняемый файл Windows, описанный JFrog как «полностью настраиваемая исполняемая полезная нагрузка».

Вредоносное ПО используется для кражи криптовалюты путем эксфильтрации криптокошельков жертв с помощью веб-хуков Discord, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления путем запроса к C2-серверу.

Эксперты добавили, что некоторые пакеты не содержали прямой вредоносной полезной нагрузки. Вместо этого они определяли другие вредоносные пакеты как зависимости, которые содержали вредоносный скрипт.

Полезные нагрузки, доставленные в ходе этой атаки, имеют очень низкий уровень обнаружения и не будут отмечены Microsoft Defender как вредоносные.

Эта атака является частью более широкой кампании, в ходе которой хакеры загрузили более 144 000 вредоносных пакетов в репозитории NPM, PyPi и NuGet . Пакеты имели схожие описания и вели к одному и тому же кластеру из 90 доменов, на которых было размещено более 65 000 фишинговых страниц.

Темы:УгрозыJFrogNuGet
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...