脅威アクターは、NuGet リポジトリを介して配信される暗号通貨スティーラーを .NET 開発者を標的にして感染させ、タイポスクワッティングによって複数の正当なパッケージになりすます。
JFrog のセキュリティ研究者である Natan Nehorai と Brian Moussalli によると、そのうちの 3 つは 1 か月以内に 150,000 回以上ダウンロードされ、この進行中のキャンペーンを発見しました。
膨大な数のダウンロードは、システムが侵害された多数の .NET 開発者を示している可能性がありますが、悪意のある NuGet パッケージを正当化しようとする攻撃者の努力によっても説明できます。
「上位 3 つのパッケージは信じられないほどの回数ダウンロードされました。これは、攻撃が非常に成功し、大量のマシンに感染したことを示している可能性があります」と、JFrog のセキュリティ研究者は述べています。
「しかし、これは攻撃の成功を示す完全に信頼できる指標ではありません。なぜなら、攻撃者は (ボットを使用して) ダウンロード数を自動的に増やして、パッケージをより正当なものに見せかけた可能性があるからです。」
攻撃者は、NuGet リポジトリ プロファイルを作成する際にもタイポスクワッティングを使用して、NuGet .NET パッケージ マネージャーで作業している Microsoft ソフトウェア開発者のアカウントのように見えるものになりすました。
| パッケージ名 | オーナー | ダウンロード | 公開済み | 偽装されたパッケージ |
| Coinbase.Core | バイナンス公式 | 121.9K | 2023-02-22 | コインベース |
| Anarchy.Wrapper.Net | 公式開発チーム | 30.4K | 2023-02-21 | アナーキーラッパー |
| DiscordRichPresence.API | 公式開発チーム | 14.1K | 2023-02-21 | 不和リッチプレゼンス |
| Avalon-Net-Core | ジョーイバーハーゲン | 1.2k | 2023-01-03 | Avalon編集 |
| Manage.Carasel.Net | 公式開発チーム | 559 | 2023-02-21 | なし |
| Asip.Net.Core | バイナンス公式 | 246 | 2023-02-22 | Microsoft.AspNetCore |
| Sys.Forms.26 | ジョーイバーハーゲン | 205 | 2023-01-03 | System.Windows.Forms |
| アゼタップ.API | DevNuget | 153 | 2023-02-27 | なし |
| AvalonNetCore | ラフル・モハマド | 67 | 2023-01-04 | Avalon編集 |
| Json.Manager.Core | BestDeveIopers | 46 | 2023-03-12 | 汎用 .NET 名 |
| Managed.Windows.Core | マハマドロフ | 37 | 2023-01-05 | 汎用 .NET 名 |
| Nexzor.Graphical.Designer.Core | インパラ | 36 | 2023-03-12 | なし |
| Azeta.API | そうばた | 28 | 2023-02-2 | なし |
悪意のあるパッケージは、PowerShell ベースのドロッパー スクリプト (init.ps1) をダウンロードして実行するように設計されており、感染したマシンが制限なく PowerShell を実行できるように構成します。
「この動作は、悪意のあるパッケージ以外では非常にまれであり、特に「無制限」実行ポリシーを考慮すると、すぐに危険信号がトリガーされるはずです」と研究者は説明しています。
次のステップでは、第 2 段階のペイロードをダウンロードして起動します。これは、JFrog が「完全にカスタム化された実行可能ペイロード」と表現する Windows 実行可能ファイルです。
これは、独自のペイロードを作成する代わりに、オープンソースのハッキング ツールやコモディティ マルウェアを主に使用する他の攻撃者と比較して、珍しいアプローチです。
侵害されたシステムに展開されたマルウェアは、Discord Webhook を使用して被害者の暗号ウォレットを盗み出し、Electron アーカイブから悪意のあるコードを抽出して実行し、攻撃者が制御するコマンド アンド コントロール (C2) にクエリを実行して自動更新することにより、暗号通貨を盗むために使用される可能性があります。サーバ。
「一部のパッケージには、直接的な悪意のあるペイロードが含まれていませんでした。代わりに、他の悪意のあるパッケージを依存関係として定義し、そこに悪意のあるスクリプトが含まれていました」と研究者は付け加えました。
この攻撃で配信されたペイロードの検出率は非常に低く、Microsoft Windows オペレーティング システムに組み込まれているマルウェア対策コンポーネントである Defender によって悪意のあるものとしてフラグが付けられることはありません。
この攻撃は、より広範な悪意のある取り組みの一部であり、他の攻撃者は、アクティブな大規模なキャンペーンの一環として、NPM、PyPi、NuGet などの複数のオープンソース パッケージ リポジトリに144,000 以上のフィッシング関連パッケージをアップロードするところまで行っています。 2022 年中。
Comments