Yeni raporlara göre, .NET geliştiricileri kripto para birimini çalmak için tasarlanmış kötü amaçlı yazılımlarla hedefleniyor.
JFrog’dan siber güvenlik araştırmacıları kısa süre önce, .NET geliştiricilerinin indirip kullanması için kötü amaçlı paketlerin NuGet deposuna yüklendiği aktif bir kampanya tespit etti.
Etkinleştirildiğinde paketler, PowerShell betiklerinin kısıtlama olmaksızın yürütülmesine izin vermek için uç noktanın ayarlarını değiştiren init.ps1 adlı bir PowerShell damlalığını indirip çalıştırır.
Özel yükler
Araştırmacılar, bu özelliğin tek başına paketin ortadan kaldırılmasını garanti etmek için yeterli bir tehlike işareti olduğunu öne sürüyor: “Bu davranış, özellikle derhal bir kırmızı bayrağı tetiklemesi gereken “Kısıtlanmamış” yürütme politikası dikkate alındığında, kötü amaçlı paketlerin dışında son derece nadirdir.”
Araştırmacılar, yine de hız kesmeden çalışmasına izin verilirse, paketin Windows ortamı için “tamamen özel bir yürütülebilir yük” indirip çalıştıracağını da sözlerine ekledi. Analistler, bunun da nadir görülen bir davranış olduğunu, çünkü bilgisayar korsanlarının genellikle zamanı kısmak için açık kaynak araçlarını kullandıklarını söyledi.
Bilgisayar korsanları meşruiyetlerini artırmak için iki şey yaptılar. İlk olarak, kimliğine bürünmek için NuGet depo profillerini yazım hatası yaptılar. (yeni sekmede açılır) NuGet .NET paket yöneticisi üzerinde çalışan Microsoft yazılım geliştiricileri.
İkincisi, kötü amaçlı paketlerin indirme sayılarını müstehcen seviyelere yükselttiler, sanki paketler yasalmış ve yüzbinlerce kez indirilmiş gibi yaptılar. Araştırmacılar, durum hala böyle olsa da, geliştiricileri hazırlıksız yakalamak için sayıları yapay olarak şişirmek için botları kullanmalarının daha muhtemel olduğunu söyledi.
JFrog güvenlik araştırmacıları, “İlk üç paket inanılmaz sayıda indirildi – bu, saldırının oldukça başarılı olduğunun ve çok sayıda makineye bulaştığının bir göstergesi olabilir” dedi. “Ancak bu, saldırının başarısının tam olarak güvenilir bir göstergesi değil çünkü saldırganlar, paketleri daha meşru göstermek için indirme sayısını (botlarla) otomatik olarak şişirmiş olabilir.”
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
