Les acteurs de la menace ciblent et infectent les développeurs .NET avec des voleurs de crypto-monnaie fournis via le référentiel NuGet et usurpant l’identité de plusieurs packages légitimes via le typosquatting.

Trois d’entre eux ont été téléchargés plus de 150 000 fois en un mois, selon les chercheurs en sécurité de JFrog, Natan Nehorai et Brian Moussalli, qui ont repéré cette campagne en cours.

Alors que le nombre massif de téléchargements pourrait indiquer qu’un grand nombre de développeurs .NET ont vu leurs systèmes compromis, cela pourrait également s’expliquer par les efforts des attaquants pour légitimer leurs packages NuGet malveillants.

« Les trois premiers packages ont été téléchargés un nombre incroyable de fois – cela pourrait être un indicateur que l’attaque a été très réussie, infectant un grand nombre de machines », ont déclaré les chercheurs en sécurité de JFrog.

« Cependant, ce n’est pas un indicateur entièrement fiable du succès de l’attaque puisque les attaquants auraient pu automatiquement gonfler le nombre de téléchargements (avec des bots) pour rendre les packages plus légitimes. »

Les acteurs de la menace ont également utilisé le typosquatting lors de la création de leurs profils de référentiel NuGet pour usurper l’identité de ce qui ressemblait aux comptes des développeurs de logiciels Microsoft travaillant sur le gestionnaire de packages NuGet .NET.

Les packages malveillants sont conçus pour télécharger et exécuter un script dropper basé sur PowerShell (init.ps1) qui configure la machine infectée pour permettre l’exécution de PowerShell sans restrictions.

« Ce comportement est extrêmement rare en dehors des packages malveillants, en particulier compte tenu de la politique d’exécution » sans restriction « , qui devrait immédiatement déclencher un drapeau rouge », ont expliqué les chercheurs.

À l’étape suivante, il télécharge et lance une charge utile de deuxième étape, un exécutable Windows décrit par JFrog comme une « charge utile exécutable entièrement personnalisée ».

Il s’agit d’une approche inhabituelle par rapport à d’autres attaquants qui utiliseront principalement des outils de piratage open source et des logiciels malveillants de base au lieu de créer leurs propres charges utiles.

Script de compte-gouttes PowerShell

Le logiciel malveillant déployé sur des systèmes compromis peut être utilisé pour voler de la crypto-monnaie en exfiltrant les portefeuilles cryptographiques des victimes à l’aide de webhooks Discord, en extrayant et en exécutant du code malveillant à partir d’archives Electron et en se mettant à jour automatiquement en interrogeant la commande et le contrôle contrôlés par l’attaquant (C2) serveur.

« Certains packages ne contenaient aucune charge utile malveillante directe. Au lieu de cela, ils ont défini d’autres packages malveillants comme des dépendances, qui contenaient ensuite le script malveillant », ont ajouté les chercheurs.

Les charges utiles livrées dans cette attaque ont des taux de détection très faibles et ne seront pas signalées comme malveillantes par Defender, le composant anti-malware intégré au système d’exploitation Microsoft Windows.

Cette attaque fait partie d’un effort malveillant plus large, d’autres attaquants allant jusqu’à télécharger plus de 144 000 packages liés au phishing sur plusieurs référentiels de packages open source, notamment NPM, PyPi et NuGet, dans le cadre d’une campagne à grande échelle active. tout au long de 2022.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *