นักพัฒนา .NET กำลังถูกโจมตีโดยมัลแวร์ที่ออกแบบมาเพื่อขโมย cryptocurrency ตามรายงานใหม่
นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ JFrog เพิ่งตรวจพบแคมเปญที่ใช้งานอยู่ซึ่งมีการอัปโหลดแพ็คเกจที่เป็นอันตรายไปยังพื้นที่เก็บข้อมูล NuGet เพื่อให้นักพัฒนา .NET ดาวน์โหลดและใช้งาน
เมื่อเปิดใช้งาน แพ็คเกจจะดาวน์โหลดและเรียกใช้ PowerShell dropper ชื่อ init.ps1 ซึ่งจะแก้ไขการกำหนดค่าตำแหน่งข้อมูลเพื่อให้สคริปต์ PowerShell ทำงานโดยไม่มีข้อจำกัด
เพย์โหลดที่กำหนดเอง
คุณลักษณะนี้เพียงอย่างเดียวก็เพียงพอแล้วที่จะรับประกันการลบแพ็คเกจออก นักวิจัยแนะนำว่า: "พฤติกรรมนี้พบได้น้อยมากนอกแพ็คเกจที่เป็นอันตราย โดยเฉพาะอย่างยิ่งเมื่อได้รับนโยบายการดำเนินการ "ไม่จำกัด" ซึ่งควรกระตุ้นให้เกิดการตั้งค่าสถานะทันที" สัญญาณเตือน" .
อย่างไรก็ตาม หากปล่อยให้ทำงานโดยไม่หยุดชะงัก แพ็คเกจก็จะดาวน์โหลดและเรียกใช้ "เพย์โหลดปฏิบัติการที่ปรับแต่งได้อย่างเต็มที่" สำหรับสภาพแวดล้อม Windows นักวิจัยกล่าวเสริม นักวิเคราะห์กล่าวว่ามันเป็นพฤติกรรมที่แปลกเช่นกัน เนื่องจากแฮกเกอร์มักจะใช้เครื่องมือโอเพ่นซอร์สเพื่อประหยัดเวลาเท่านั้น
เพื่อสนับสนุนความชอบธรรมของพวกเขา แฮกเกอร์จึงทำสองสิ่ง ขั้นแรก พวกเขาเขียนโปรไฟล์พื้นที่เก็บข้อมูล NuGet เพื่อสวมรอยเป็น (เปิดในแท็บใหม่) นักพัฒนาซอฟต์แวร์ Microsoft ที่ทำงานเกี่ยวกับตัวจัดการแพ็คเกจ NuGet .NET
ประการที่สอง พวกเขาเพิ่มจำนวนการดาวน์โหลดแพ็คเกจที่เป็นอันตรายให้อยู่ในระดับที่ลามกอนาจาร เพื่อให้แพ็คเกจดูถูกต้องตามกฎหมายและมีการดาวน์โหลดหลายแสนครั้ง แม้ว่าจะยังคงเป็นเช่นนั้น นักวิจัยกล่าวว่า มีแนวโน้มมากขึ้นที่พวกเขาใช้บอทเพื่อเพิ่มจำนวนเทียมเพื่อสร้างความประหลาดใจให้กับนักพัฒนา
“แพ็คเกจสามชุดแรกถูกดาวน์โหลดเป็นจำนวนมากอย่างไม่น่าเชื่อ นี่อาจเป็นตัวบ่งชี้ว่าการโจมตีประสบความสำเร็จอย่างมากและทำให้เครื่องติดไวรัสจำนวนมาก” นักวิจัยด้านความปลอดภัยของ JFrog กล่าว “อย่างไรก็ตาม นี่ไม่ใช่ตัวบ่งชี้ความสำเร็จในการโจมตีที่เชื่อถือได้อย่างสมบูรณ์ เนื่องจากผู้โจมตีสามารถเพิ่มจำนวนการดาวน์โหลด (ด้วยบอท) โดยอัตโนมัติเพื่อทำให้แพ็คเกจถูกต้องตามกฎหมายมากขึ้น”
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)