Os atores de ameaça estão direcionando e infectando desenvolvedores .NET com roubo de criptomoeda entregue através do repositório NuGet e se fazendo passar por vários pacotes legítimos através de typosquatting.
Três deles foram baixados mais de 150.000 vezes em um mês, de acordo com os pesquisadores de segurança da JFrog, Natan Nehorai e Brian Moussalli, que identificaram essa campanha em andamento.
Embora o grande número de downloads possa indicar um grande número de desenvolvedores .NET que tiveram seus sistemas comprometidos, também pode ser explicado pelos esforços dos atacantes para legitimar seus pacotes maliciosos do NuGet.
"Os três principais pacotes foram baixados em uma quantidade incrível de vezes - isso pode ser um indicador de que o ataque foi altamente bem-sucedido, infectando uma grande quantidade de máquinas", disseram os pesquisadores de segurança da JFrog.
"No entanto, isso não é um indicador totalmente confiável do sucesso do ataque, já que os atacantes poderiam ter inflado automaticamente a contagem de downloads (com bots) para tornar os pacotes mais legítimos." Os atores ameaçadores também usaram typosquatting ao criar seus perfis de repositório NuGet para se passar por contas de desenvolvedores de software da Microsoft trabalhando no gerenciador de pacotes .NET NuGet.
Os pacotes maliciosos são projetados para baixar e executar um script de dropper baseado em PowerShell (init.ps1) que configura a máquina infectada para permitir a execução do PowerShell sem restrições.
"Esse comportamento é extremamente raro fora de pacotes maliciosos, especialmente levando em consideração a política de execução 'Sem Restrições', que deve imediatamente acionar um alerta vermelho", explicaram os pesquisadores.
No próximo passo, ele baixa e lança um payload de segunda etapa, um executável do Windows descrito pela JFrog como um "payload executável completamente personalizada".
Esta é uma abordagem incomum em comparação com outros atacantes que usarão principalmente ferramentas de hacking de código aberto e malware de commodity em vez de criar suas próprias payload.
O malware implantado em sistemas comprometidos pode ser usado para roubar criptomoeda extraindo as carteiras criptográficas das vítimas usando webhooks do Discord, extrair e executar código malicioso de arquivos do Electron e atualizar automaticamente consultando o servidor de comando e controle (C2) controlado pelo atacante.
"Alguns pacotes não continham nenhum payload malicioso. Em vez disso, eles definiam outros pacotes maliciosos como dependências, que então continham o script malicioso", acrescentaram os pesquisadores.
Os payloads entregues neste ataque têm taxas de detecção muito baixas e não serão sinalizadas como maliciosas pelo Defender, o componente antimalware integrado no sistema operacional Microsoft Windows.
Este ataque faz parte de um esforço malicioso mais amplo, com outros atacantes indo tão longe a ponto de fazer o upload de mais de 144.000 pacotes relacionados a phishing em vários repositórios de pacotes de código aberto, incluindo NPM, PyPi e NuGet, como parte de uma campanha em grande escala ativa em todo o ano de 2022.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...