Złodzieje kryptowalut obierają za cel programistów .NET w nowej kampanii skierowanej do nich

22 marca 2023

Deweloperzy .NET są na celowniku złośliwego oprogramowania zaprojektowanego w celu kradzieży ich kryptowalut.

Badacze cyberbezpieczeństwa z JFrog zauważyli ostatnio aktywną kampanię, w której złośliwe pakiety zostały przesłane do repozytorium NuGet, aby deweloperzy .NET mogli je pobrać i wykorzystać. Po aktywacji pakiety pobierają i uruchamiają dropper PowerShell o nazwie init.ps1, który zmienia ustawienia punktu końcowego, aby umożliwić wykonywanie skryptów PowerShell bez ograniczeń.

Ta cecha sama w sobie była wystarczającą czerwoną flagą, aby uzasadnić eliminację pakietu, sugerują badacze: „Takie zachowanie jest niezwykle rzadkie poza złośliwymi pakietami, szczególnie biorąc pod uwagę politykę wykonywania „Unrestricted”, która powinna natychmiast wywołać czerwoną flagę”. Mimo to, jeśli pozwoli się pakietowi działać bez przeszkód, pobierze on i wykona „całkowicie niestandardowy ładunek wykonywalny” dla środowiska Windows, dodają badacze. To również jest rzadkim zachowaniem, jak twierdzą analitycy, ponieważ hakerzy zazwyczaj po prostu używają narzędzi open-source, aby skrócić czas.

Celem zbudowania swojej wiarygodności, hakerzy zrobili dwie rzeczy. Po pierwsze, podszyli się pod programistów Microsoftu pracujących nad menedżerem pakietów NuGet .NET.

Po drugie, zawyżali liczbę pobrań złośliwych pakietów do rozmiarów wręcz absurdalnych, aby sprawić wrażenie, że pakiety były legalne i pobierane setki tysięcy razy. Chociaż może to nadal mieć miejsce, badacze powiedzieli, jest bardziej prawdopodobne, że użyli oni botów do sztucznego zawyżania liczb, aby schwytać deweloperów z zaskoczenia.

„Trzy najlepsze pakiety zostały pobrane niesamowitą ilość razy – może to być wskaźnik, że atak był bardzo udany, infekując dużą ilość maszyn” – powiedzieli badacze bezpieczeństwa JFrog. „Jednak nie jest to w pełni wiarygodny wskaźnik sukcesu ataku, ponieważ napastnicy mogli automatycznie zawyżyć liczbę pobrań (za pomocą botów), aby pakiety wydawały się bardziej legalne”.