Οι χάκερ έχουν ως στόχο τους προγραμματιστές .NET εισάγοντας κακόβουλα προγράμματα κλοπής κρυπτονομισμάτων στο αποθετήριο NuGet, καμουφλάροντάς τα ως νόμιμα πακέτα μέσω typosquatting.
Σύμφωνα με τους ερευνητές ασφαλείας της JFrog, Natan Nehorai και Brian Moussalli, οι οποίοι ανακάλυψαν αυτή την επίμονη εκστρατεία, τρία κακόβουλα αρχεία έχουν κατέβει πάνω από 150.000 φορές μέσα σε ένα μήνα.
Δείτε επίσης: Ελάττωμα Google Pixel επέτρεπε την ανάκτηση cropped εικόνων
Λαμβάνοντας υπόψη τον τεράστιο αριθμό λήψεων, είναι πιθανό να έχουν διεισδύσει στα συστήματά τους πολλοί προγραμματιστές .NET. Παρόλα αυτά, αυτό θα μπορούσε να είναι μια συνέπεια των προσπαθειών των επιτιθέμενων να δώσουν αξιοπιστία στα δόλια πακέτα NuGet.
“Τα τρία κορυφαία πακέτα λήφθηκαν απίστευτες φορές – αυτό θα μπορούσε να είναι ένδειξη ότι η επίθεση ήταν εξαιρετικά επιτυχημένη, μολύνοντας μεγάλο αριθμό μηχανημάτων“, είπαν οι ερευνητές ασφαλείας του JFrog.
“Ωστόσο, αυτό δεν είναι ένας απολύτως αξιόπιστος δείκτης της επιτυχίας της επίθεσης, καθώς οι εισβολείς θα μπορούσαν να έχουν διογκώσει αυτόματα τον αριθμό των λήψεων (με bots) για να κάνουν τα πακέτα να φαίνονται πιο νόμιμα.”
Για να μεταμφιεστούν σε προγραμματιστές λογισμικού της Microsoft για τον διαχειριστή πακέτων NuGet .NET, οι κακόβουλοι φορείς χρησιμοποίησαν typosquatting κατά την κατασκευή των ψεύτικων λογαριασμών αποθετηρίου NuGet.
Κατασκευασμένα για να μολύνουν, αυτά τα επιβλαβή πακέτα είναι κατασκευασμένα για να κατεβάζουν και να ενεργοποιούν το init.ps1 – ένα dropper script με βάση το PowerShell που τροποποιεί το μηχάνημα-στόχο για την απεριόριστη εκτέλεση του PowerShell.
Δείτε επίσης: Η ΕΥΠ παρακολουθούσε με Predator Spyware διευθύντρια της Meta;
“Αυτή η συμπεριφορά είναι εξαιρετικά σπάνια εκτός κακόβουλων πακέτων, ειδικά λαμβάνοντας υπόψη την πολιτική εκτέλεσης “Απεριόριστη”, η οποία θα πρέπει να ενεργοποιήσει αμέσως ένα red flag”, εξήγησαν οι ερευνητές.
Στο επόμενο βήμα, κατεβάζει και εκκινεί ένα payload δεύτερου σταδίου, ένα εκτελέσιμο Windows που περιγράφεται από τον JFrog ως “εντελώς προσαρμοσμένο εκτελέσιμο payload”.
Αυτή είναι μια ασυνήθιστη προσέγγιση σε σύγκριση με άλλους εισβολείς που θα χρησιμοποιούν ως επί το πλείστον εργαλεία hacking ανοιχτού κώδικα και commodity malware αντί να δημιουργούν τα δικά τους ωφέλιμα φορτία.
Το malware που αναπτύσσεται σε παραβιασμένα συστήματα μπορεί να χρησιμοποιηθεί για την κλοπή κρυπτονομισμάτων μέσω του exfiltrating των crypto wallets των θυμάτων χρησιμοποιώντας webhooks Discord, εξαγωγή και εκτέλεση κακόβουλου κώδικα από τα αρχεία Electron και αυτόματη ενημέρωση μέσω ερωτήματος για το command-and-control (C2) server που ελέγχεται από τον κακόβουλο παράγοντα.
Τα payload που παραδίδονται σε αυτήν την επίθεση έχουν πολύ χαμηλά ποσοστά ανίχνευσης και δεν θα επισημανθούν ως κακόβουλα από το Defender, το ενσωματωμένο στοιχείο προστασίας από κακόβουλο λογισμικό στο λειτουργικό σύστημα Microsoft Windows.
Δείτε επίσης: Ferrari: Αποκάλυψε παραβίαση δεδομένων αφού έλαβε σημείωμα λύτρων
Αυτή η κακόβουλη επίθεση είναι μόνο η αρχή μιας σειράς επιθέσεων. Οι εγκληματίες έχουν ανεβάσει πάνω από 144.000 πακέτα που σχετίζονται με το phishing σε πολλαπλά αποθετήρια πακέτων ανοιχτού κώδικα, όπως τα NPM, PyPi και NuGet, για να ξεκινήσουν μια εκτεταμένη εκστρατεία που θα διαρκέσει όλο το 2022.
Πηγή πληροφοριών: bleepingcomputer.com
