Nhà phát triển .NET bị tấn công bởi các gói NuGet độc hại

14:47 | 31/03/2023
Thanh Bùi (Theo Bleepingcomputer)

Một nhóm những kẻ tấn công đã nhằm mục tiêu vào các nhà phát triển .NET bằng cách sử dụng các công cụ đánh cắp tiền điện tử được phân phối thông qua kho lưu trữ NuGet và mạo danh nhiều gói hợp lệ thông qua kỹ thuật typosquatting.

NuGet là một công cụ quản lý gói phần mềm dành cho .NET Framework, cho phép các nhà phát triển dễ dàng tìm và cài đặt các thư viện và phần mềm bổ sung cho các ứng dụng của họ.

Ba gói dữ liệu hàng đầu trên NuGet được tải xuống hơn 150.000 lượt trong 1 tháng cho thấy, cuộc tấn công này đang diễn ra mạnh mẽ và nó thành công trong việc xâm nhập vào lượng lớn thiết bị. Đây cũng có thể là số liệu được kẻ tấn công sử dụng bot tạo ra nhằm tăng tính tin cậy của các gói dữ liệu.

Những cuộc tấn công cũng sử dụng kỹ thuật typosquatting khi tạo các hồ sơ kho lưu trữ NuGet của chúng để mạo danh thành các nhà phát triển phần mềm Microsoft làm việc trên trình quản lý gói .NET NuGet.

Số lượng tải xuống của các gói trên NuGet cung cấp bởi tài khoản mạo danh

Các tài liệu bảo mật của Microsoft cho thấy rằng một số gói NuGet bị nhiễm mã độc và được phát tán thông qua các kênh khác nhau như GitHub và trang web của riêng chúng.

Các gói NuGet này đã bị tấn công bằng cách thay thế mã nguồn được tải lên với mã độc, khiến cho các phần mềm và ứng dụng được xây dựng từ mã nguồn này cũng bị lây nhiễm.

Các gói dữ liệu độc hại được thiết kế để tải xuống và thực thi một script dropper (là một loại phần mềm độc hại được phát triển để có thể virus tự động cài đặt bằng các lệnh trong tệp) dựa trên PowerShell (init.ps1) khiến thiết bị nạn nhân cho phép thực thi PowerShell mà không có bất kỳ hạn chế nào.

PowerShell dropper script

Phần mềm độc hại này dễ dàng qua mặt Defender (phần mềm phòng ngừa virus tích hợp sẵn trong hệ điều hành Microsoft Windows) để xâm nhập vào hệ thống, chúng có thể được sử dụng để lấy cắp tiền điện tử bằng cách lấy trộm ví tiền điện tử của nạn nhân thông qua Discord webhooks (hệ thống trò truyện được lưu trữ), trích xuất và thực thi mã độc hại từ các lưu trữ Electron và tự động cập nhật bằng cách truy vấn máy chủ điều khiển và kiểm soát của kẻ tấn công.

Cuộc tấn công này là một phần của chiến dịch lừa đảo quy mô lớn hoạt động trong suốt năm 2022. Những kẻ tấn công khác đã đăng hơn 144.000 gói liên quan đến lừa đảo trên nhiều kho lưu trữ mã nguồn mở bao gồm NPM, PyPi và NuGet.

Các nhà phát triển đã được cảnh báo về vấn đề này và được khuyến khích để kiểm tra tính toàn vẹn của các gói NuGet mà họ sử dụng để đảm bảo rằng chúng đến từ nguồn tin cậy. Họ cũng nên sử dụng các công cụ bảo mật chuyên dụng để kiểm tra phần mềm và ứng dụng của họ để phát hiện và loại bỏ các mã độc đã được tiêm vào.