Вредоносные пакеты NuGet с 150 000 загрузками заражают .NET-разработчиков

• 21 марта, 2023
• 13:30

Исследователи безопасности JFrog обнаружили продолжающуюся кампанию , в ходе которой злоумышленники заражают .NET (произносится «дотнет») — это программная платформа, разработанная компанией Microsoft. Она предоставляет инструменты для создания и выполнения приложений на разных языках программирования, таких как C#, Visual Basic и F#.
Платформа включает в себя несколько основных компонентов, включая среду исполнения .NET, библиотеки классов .NET и компиляторы языков программирования.
.NET используется для создания разнообразных приложений, включая десктопные, веб- и мобильные приложения, а также игры и службы веб-серверов.

‘ data-html=»true» data-original-title=».NET»>.NET-разработчиков с помощью похитителей криптовалюты, доставляемых через репозиторий NuGet и выдающих себя за легитимные пакеты.

По словам специалистов JFrog, 3 вредоносных пакета были загружены более 150 000 раз в течение месяца. Однако, не стоит забывать, что киберпреступники могли искусственно увеличить количество загрузок с помощью ботов, чтобы пакеты вызывали доверие у пользователей.

Злоумышленники также использовали метод «Тайпсквоттинг» (Typosquatting (Тайпсквоттинг) — регистрация доменов с намеренными опечатками с целью имитации названий популярных сайтов. Например, в них заменяется одна буква или добавляется дополнительная буква «s». Поэтому пользователь может не заметить опечатку. (Например, tlktok.com вместо tiktok.com; gogle.com вместо google.com).

» data-html=»true» data-original-title=»Typosquatting»>Typosquatting) при создании своих профилей репозитория NuGet, чтобы выдать себя разработчиков ПО Microsoft, работающих над диспетчером .NET-пакетов NuGet.

Вредоносные пакеты, содержащие одну и ту же полезную нагрузку

Вредоносные пакеты предназначены для загрузки и выполнения сценария Дроппер – вредоносное ПО, используемое для установки на целевую систему других угроз. Дропперы содержат в себе финальную полезную нагрузку и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными.

» data-html=»true» data-original-title=»Дроппер»>дроппера на основе

Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.

» data-html=»true» data-original-title=»PowerShell»>PowerShell (init.ps1), который настраивает зараженную машину на выполнение PowerShell без ограничений.

Исследователи пояснили, что такое поведение крайне редко встречается за пределами вредоносных пакетов, особенно если принять во внимание политику «неограниченного» выполнения, которая должна немедленно вызвать тревожный сигнал.

На следующем этапе дроппер загружает и запускает полезную нагрузку второго этапа, исполняемый файл Windows, описанный JFrog как «полностью настраиваемая исполняемая полезная нагрузка».

Вредоносное ПО используется для кражи криптовалюты путем эксфильтрации криптокошельков жертв с помощью веб-хуков Discord — это проприетарная кроссплатформенная система мгновенного обмена сообщениям, изначально созданная для геймеров, но в настоящее время используется в различных сообществах по интересам. Discord  разделен на серверы, на каждом из которых есть свои участники, темы, правила и каналы.

Discord также позволяет пользователям общаться в голосовом и видеочате, а также транслировать игры и другие программы со своих компьютеров.