Криптопохитители нацелены на разработчиков .NET в новой кампании
22 марта 2023 г.Согласно новым сообщениям, разработчики .NET подвергаются атаке с помощью вредоносного ПО, предназначенного для кражи их криптовалюты.
Исследователи кибербезопасности из JFrog недавно обнаружили активную кампанию, в ходе которой вредоносные пакеты загружались в репозиторий NuGet для загрузки и использования разработчиками .NET.
При активации пакеты загружают и запускают дроппер PowerShell с именем init.ps1, который изменяет настройки конечной точки, позволяя выполнять сценарии PowerShell без ограничений.
Пользовательские полезные нагрузки
Исследователи предполагают, что одной только этой функции было достаточно, чтобы оправдать удаление пакета: "Такое поведение чрезвычайно редко встречается вне вредоносных пакетов, особенно с учетом политики выполнения "Неограниченное", которая должна немедленно вызвать красный флаг."
Тем не менее, если разрешить работу без ограничений, пакет загрузит и выполнит «полностью настраиваемую исполняемую полезную нагрузку» для среды Windows, добавили исследователи. По словам аналитиков, это тоже редкое поведение, поскольку хакеры обычно просто используют инструменты с открытым исходным кодом, чтобы сократить время.
Чтобы укрепить свою легитимность, хакеры сделали две вещи. Во-первых, они опечатали свои профили репозитория NuGet, чтобы выдавать себя за разработчиков программного обеспечения Microsoft, работающих в диспетчере пакетов NuGet .NET.
Во-вторых, они завышали количество загрузок вредоносных пакетов до неприлично высоких значений, чтобы создать впечатление, что пакеты были законными и загружались сотни тысяч раз. Исследователи заявили, что хотя это все еще может иметь место, более вероятно, что они использовали ботов для искусственного завышения цифр, чтобы застать разработчиков врасплох.
"Три верхних пакета загружались невероятное количество раз — это может свидетельствовать о том, что атака была очень успешной и заразила большое количество машин", — заявили исследователи безопасности JFrog. «Однако это не совсем надежный показатель успеха атаки, поскольку злоумышленники могли автоматически увеличить количество загрузок (с помощью ботов), чтобы пакеты выглядели более законными».
- Защитите свой бизнес с помощью лучшей защиты конечных точек для малого бизнеса
Через: BleepingComputer
Оригинал