Tehdit aktörleri, Nuget deposu aracılığıyla teslim edilen kripto para birimi çalkalananları olan .NET geliştiricilerini hedefliyor ve bulaşıyor ve yazım hatası yoluyla çoklu meşru paketleri taklit ediyor.
JFrog güvenlik araştırmacıları Natan Nehorai ve Brian Moussalli'ye göre, üçü bir ay içinde 150.000'den fazla kez indirildi.
Çok sayıda indirme, sistemlerini tehlikeye atan çok sayıda .NET geliştiricisine işaret edebilirken, saldırganların kötü niyetli Nuget paketlerini meşrulaştırma çabalarıyla da açıklanabilir.
JFrog güvenlik araştırmacıları, "İlk üç paket inanılmaz bir kez indirildi - bu, saldırının son derece başarılı olduğunu ve büyük miktarda makineye bulaştığını gösterebilir." Dedi.
"Ancak, saldırganlar paketlerin daha meşru görünmesi için indirme sayısını (botlarla) otomatik olarak şişirebileceğinden, saldırının başarısının tamamen güvenilir bir göstergesi değildir."
Tehdit oyuncusu ayrıca NuGet depo profillerini oluştururken yazım hatası kullandılar.
Kötü amaçlı paketler, enfekte edilmiş makineyi kısıtlamalar olmadan PowerShell yürütmesine izin verecek şekilde yapılandıran PowerShell tabanlı bir damla edici komut dosyası (init.ps1) indirmek ve yürütmek için tasarlanmıştır.
Araştırmacılar, "Bu davranış, özellikle kırmızı bir bayrağı hemen tetiklemesi gereken" sınırsız "yürütme politikasını dikkate alarak kötü niyetli paketlerin dışında son derece nadirdir."
Bir sonraki adımda, JFrog tarafından "tamamen özel yürütülebilir yük yükü" olarak tanımlanan bir Windows yürütülebilir yükü olan ikinci aşamalı bir yükü indirir ve başlatır.
Bu, kendi yüklerini oluşturmak yerine çoğunlukla açık kaynaklı hackleme araçları ve emtia kötü amaçlı yazılımları kullanacak diğer saldırganlara kıyasla alışılmadık bir yaklaşımdır.
Meydan okulu sistemlere dağıtılan kötü amaçlı yazılımlar, Discord Webhooks kullanarak kurbanların kripto cüzdanlarını eksfiltrat ederek, elektron arşivlerinden kötü amaçlı kodlar çıkararak ve yürüterek ve saldırgan kontrollü komut ve kontrol (C2) sorgulayarak otomatik olarak güncelleme yaparak kripto para birimini çalmak için kullanılabilir. sunucu.
Araştırmacılar, "Bazı paketler herhangi bir doğrudan kötü niyetli yük içermiyordu. Bunun yerine, diğer kötü amaçlı paketleri bağımlılık olarak tanımladılar, bu da daha sonra kötü amaçlı komut dosyasını içeriyorlar."
Bu saldırıda teslim edilen yükler çok düşük algılama oranlarına sahiptir ve Microsoft Windows işletim sistemindeki yerleşik yazılım önleyici bileşeni olan Defender tarafından kötü niyetli olarak işaretlenmeyecektir.
Bu saldırı, daha geniş bir kötü niyetli çabanın bir parçasıdır ve diğer saldırganlar, NPM, Pypi ve Nuget dahil olmak üzere çok sayıda açık kaynaklı paket deposuna 144.000'den fazla kimlik avı ile ilgili paketleri yüklemeye kadar devam eder. 2022 boyunca.
Microsoft, Microsoft Edge'de yerleşik bir kripto cüzdanını test ediyor
Hackerlar Euler Finance Saldırısında Kripto'da 197 milyon dolar çalıyor
Yeni S1Deload Stealer kötü amaçlı yazılım kaçırmaları YouTube, Facebook Hesapları
Microsoft Exchange Proxyshell Kusurları Yeni Kripto Madenli Saldırısında İstismar
Yeni Pano Koruma Kripto Cüzdan Adreslerinin yerini Lookalikes ile değiştiriyor
Kaynak: Bleeping Computer