Developers worden aangevallen met behulp van “geavanceerde typosquatting-technieken”.
Aanvallers richten zich op .NET ontwikkelaars en infecteren hen met cryptocurrency stealers, volgens een rapport in BleepingComputer.
JFrog beveiligingsonderzoekers Natan Nehorai en Brian Moussalli hebben deze week in een blogpost de dreiging in detail beschreven. Ze zeiden dat hun team onlangs “een geraffineerde en zeer kwaadaardige aanval op .NET-ontwikkelaars via de NuGet-repository ontdekte, waarbij geraffineerde typosquatting-technieken werden gebruikt”.
De top drie pakketten werden “ongelooflijk vaak gedownload”, merken de onderzoekers op, eraan toevoegend dat “dit een aanwijzing kan zijn dat de aanval zeer succesvol was en een groot aantal machines infecteerde”.
Ze vervolgen echter, “dit is geen volledig betrouwbare indicator van het succes van de aanval, aangezien de aanvallers het aantal downloads automatisch kunnen hebben opgeblazen (met bots) om de pakketten legitiemer te laten lijken”.
Hoe aanval in zijn werk gaat
De aanvallers gebruikten typosquatting bij het aanmaken van hun NuGet-repositoryprofielen om zich voor te doen als wat leek op de “legitieme” accounts van Microsoft-softwareontwikkelaars die werken aan de NuGet .NET-pakketbeheerder.
De schadelijke pakketten waren de afgelopen maand al 150.000 keer gedownload voordat ze uit de NuGet-repository werden verwijderd. Ze bevatten een payload van het type “download & execute”, zo verklaarde het team. Het gaat dan met name om een PowerShell-script dat bij installatie zou worden uitgevoerd en een download van een payload zou triggeren, die op afstand kon worden uitgevoerd.
Aanval afslaan
“Ondanks het feit dat de ontdekte kwaadaardige pakketten sindsdien uit NuGet zijn verwijderd, lopen .NET-ontwikkelaars nog steeds een groot risico op kwaadaardige code”, waarschuwen Nehorai en Moussalli. Dit komt doordat NuGet-pakketten nog steeds direct bij de installatie van het pakket code kunnen uitvoeren.
Ontwikkelaars moeten letten op typefouten in geïmporteerde en geïnstalleerde pakketten, adviseren de onderzoekers. “Zoals men kan zien, proberen sommige van deze pakketten de namen van legitieme bekende pakketten na te bootsen, in de hoop dat een ontwikkelaar ze per ongeluk in zijn project installeert, of ze als afhankelijkheid vermeldt”.
Voor ontwikkelaars is het opletten geblazen: payloads die bij deze aanval worden geleverd, hebben een zeer lage detectiegraad en worden niet als kwaadaardig gemarkeerd door Microsofts Defender anti-malwarefunctie.
Lees ook: Emotet-malware nu verspreid via e-mailbijlagen van Microsoft OneNote
13 uur geleden
