22 mars 2023Ravie LakshmananDevOpsSec / Logiciels malveillants

Nuget Malware

Le NuGet est la cible d’une nouvelle « attaque sophistiquée et hautement malveillante » visant à infecter les systèmes des développeurs .NET avec un malware voleur de crypto-monnaie.

Les 13 packages escrocs, qui ont été téléchargés plus de 160 000 fois au cours du mois dernier, ont depuis été supprimés.

« Les packages contenaient un script PowerShell qui s’exécutait lors de l’installation et déclenchait le téléchargement d’une charge utile de » deuxième étape « , qui pouvait être exécutée à distance », ont déclaré les chercheurs de JFrog, Natan Nehorai et Brian Moussalli. a dit.

Alors que les packages NuGet se sont révélés dans le passé contenir des vulnérabilités et être utilisés de manière abusive pour propager des liens de phishing, le développement marque la toute première découverte de packages contenant du code malveillant.

Publicité

Trois des packages les plus téléchargés – Coinbase.Core, Anarchy.Wrapper.Net et DiscordRichPresence.API – représentaient à eux seuls 166 000 téléchargements, bien qu’il soit également possible que les acteurs de la menace gonflent artificiellement le nombre de téléchargements en utilisant des bots pour les faire apparaître plus légitimes.

L’utilisation de Coinbase et Discord souligne le recours continu aux techniques de typosquattage, dans lesquelles de faux packages se voient attribuer des noms similaires à des packages légitimes, afin d’inciter les développeurs à les télécharger.

Le malware incorporé dans les packages logiciels fonctionne comme un script dropper et est conçu pour exécuter automatiquement un code PowerShell qui récupère un binaire de suivi à partir d’un serveur codé en dur.

Nug

En tant que mécanisme d’obscurcissement supplémentaire, certains packages n’intégraient pas directement une charge utile malveillante, mais la récupéraient via un autre package piégé en tant que dépendance.

Plus troublant encore, la connexion au serveur de commande et de contrôle (C2) se fait via HTTP (par opposition à HTTPS), ce qui le rend vulnérable à une attaque d’adversaire au milieu (AiTM).

Le logiciel malveillant de deuxième étape est ce que JFrog décrit comme une « charge utile exécutable entièrement personnalisée » qui peut être commutée dynamiquement à volonté puisqu’elle est récupérée à partir du serveur C2.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.

RÉSERVEZ VOTRE PLACE

La deuxième étape offre plusieurs fonctionnalités, notamment un voleur de chiffrement et un module de mise à jour automatique qui envoie une requête ping au serveur C2 pour obtenir une version mise à jour du logiciel malveillant.

Les résultats surviennent alors que la chaîne d’approvisionnement en logiciels est devenue une voie de plus en plus lucrative pour compromettre les systèmes des développeurs et propager furtivement du code de porte dérobée aux utilisateurs en aval.

« Cela prouve qu’aucun référentiel open source n’est à l’abri d’acteurs malveillants », a déclaré Shachar Menashe, directeur principal de JFrog Security Research, dans un communiqué partagé avec The Hacker News.

« Les développeurs .NET utilisant NuGet courent toujours un risque élevé que du code malveillant infecte leurs environnements et doivent faire preuve de prudence lors de la conservation des composants open source à utiliser dans leurs versions – et à chaque étape du cycle de vie du développement logiciel – pour s’assurer que la chaîne d’approvisionnement logicielle reste sécurisé. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLes responsables du Kremlin ont dit de se débarrasser de leurs iPhones ou de les donner aux « enfants »
Article suivant« Succession » revient pour une quatrième et dernière saison de coups de poignard dans le dos de la famille
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici