Hackers target .NET developers with malicious NuGet packages
2023/03/20 BleepingComputer — タイポスクワッティングにより複数の正規パッケージになりすました暗号通貨ステーラーが、NuGet リポジトリを通じて配信され、.NET 開発者をターゲットに感染し続けている。この継続的なキャンペーンを発見した、JFrog のセキュリティ研究者 Natan Nehorai と Brian Moussalli によると、そのうちの3つは、この1ヶ月の間に 15万回以上もダウンロードされているとのことだ。この膨大なダウンロード数は、システムを侵害された多数の .NET 開発者を示している可能性もありるが、悪意の NuGet パッケージを正当化するために、攻撃者が人為的に操作した結果なのかもしれない。
JFrog のセキュリティ研究者たちは、「Top-3 パッケージは、信じられないほどのダウンロード数に達しており、攻撃が大成功して大量のマシンに感染したことを示す、指標になる可能性がある。しかし、それらの悪意のパッケージを、より合法的に見せるために、ボットを使ってダウンロード数を膨らませた可能性もあるため、攻撃の成功の度合いを示す完全な指標とは言えない」と述べている。
また、脅威アクターたちは、NuGet リポジトリのプロファイルを作成する際にタイポスクワッティングを使用し、NuGet .NET パッケージ・マネージャに携わる Microsoft ソフトウェア開発者のアカウントを装っている。
| Package Name | Owner | Downloads | Published | Impersonated package |
| Coinbase.Core | BinanceOfficial | 121.9K | 2023-02-22 | Coinbase |
| Anarchy.Wrapper.Net | OfficialDevelopmentTeam | 30.4K | 2023-02-21 | Anarchy-Wrapper |
| DiscordRichPresence.API | OfficialDevelopmentTeam | 14.1K | 2023-02-21 | DiscordRichPresence |
| Avalon-Net-Core | joeIverhagen | 1.2k | 2023-01-03 | AvalonEdit |
| Manage.Carasel.Net | OfficialDevelopmentTeam | 559 | 2023-02-21 | N/A |
| Asip.Net.Core | BinanceOfficial | 246 | 2023-02-22 | Microsoft.AspNetCore |
| Sys.Forms.26 | joeIverhagen | 205 | 2023-01-03 | System.Windows.Forms |
| Azetap.API | DevNuget | 153 | 2023-02-27 | N/A |
| AvalonNetCore | RahulMohammad | 67 | 2023-01-04 | AvalonEdit |
| Json.Manager.Core | BestDeveIopers | 46 | 2023-03-12 | Generic .NET name |
| Managed.Windows.Core | MahamadRohu | 37 | 2023-01-05 | Generic .NET name |
| Nexzor.Graphical.Designer.Core | Impala | 36 | 2023-03-12 | N/A |
| Azeta.API | Soubata | 28 | 2023-02-24 | N/A |
この悪意のパッケージは、PowerShell ベースのドロッパー・スクリプト (init.ps1) をダウンロード/実行し、感染させたマシン上で制限なしに PowerShell を実行できるように設定していく。研究者たちは、「この動作は、悪意のパッケージに顕著なものであり、特に [制限なし] の実行ポリシーのことを考えると、直ちにレッドフラグが立つはずだ」と説明している。
次のステップでは、第2段階のペイロードである Windows 実行ファイルをダウンロード/起動する。大半の脅威アクターたちは、オープンソース・ハッキングツールやコモディティ・マルウェアを使用するが、この独自のペイロードを作成するという手法は珍しいアプローチとなる。
侵害したシステムに展開されたマルウェアは、Discord webhooks を使用して被害者の暗号ウォレットを流出させ、Electron アーカイブから悪意のコードを抽出して実行し、攻撃者が制御する Command and Control (C2) サーバに問い合わることで、自動に更新を行い、暗号通貨を盗み出していく。
研究者たちは、「一部のパッケージは、悪意のペイロードを取り込んでいないが、その代わりに、他の悪意のパッケージとの依存関係を定義することで、外部から悪意のスクリプトを取り込んでいた」と付け加えている。
この攻撃で配信された、一連のペイロードの検出率は極めて低く、Microsoft Windows OS に組み込まれているマルウェア対策コンポーネントである、Defender による悪意のフラグが立つこともなかった。
この攻撃は、より広範な悪意の取り組みの一部である。2022年を通じて、その他の攻撃者たちは、大規模キャンペーンの一環として、NPM/PyPI/NuGet などの複数のオープンソース・パッケージ・リポジトリ上に、144,000 件以上のフィッシング関連パッケージをアップロードするにまで至っている。
昨年から、GitHub/PyPI/npm などの、OSS コード・リポジトリに悪意のパッケージをアップロードし、開発者たちに感染させていくという、サプライチェーン攻撃が多発するようになりました。そして、2023/01/06 の「Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?」で指摘されたように、この種の攻撃が .NET 環境へと広がってきたようです。
2023/02/03:VS アドインを悪用するマルウェア:リモート配布
2023/02/03:MalVirt という .NET マルウェア・ローダー
2023/01/16:Java と .NET のデベロッパー:大量の脆弱性
IoT OT Security News 
You must be logged in to post a comment.