Los investigadores de seguridad cibernética han detallado el funcionamiento interno del malware ladrón de criptomonedas que se distribuyó a través de 13 paquetes NuGet maliciosos como parte de un ataque a la cadena de suministro dirigido a los desarrolladores de .NET.
La sofisticada campaña de typosquatting, que fue detallada por JFrog a fines del mes pasado, se hizo pasar por paquetes legítimos para ejecutar código PowerShell diseñado para recuperar un binario de seguimiento de un servidor codificado.
El ataque en dos etapas culmina con la implementación de una puerta trasera persistente basada en .NET, llamada Impala Stealer, que es capaz de obtener acceso no autorizado a las cuentas de criptomonedas de los usuarios.
«La carga útil usó una técnica de ofuscación muy rara, llamada ‘compilación .NET AoT’, que es mucho más sigilosa que usar ofuscadores ‘listos para usar’ y al mismo tiempo dificulta la ingeniería inversa del binario», dijo JFrog a The Hacker News en un declaración.
.NETO Compilación de AoT es un técnica de optimización que permite que las aplicaciones se compilen con anticipación en código nativo. Las aplicaciones AOT nativas también tienen un tiempo de inicio más rápido y un menor consumo de memoria, y pueden ejecutarse en una máquina sin el tiempo de ejecución de .NET instalado.
La carga útil de la segunda etapa viene con un mecanismo de actualización automática que le permite recuperar nuevas versiones del ejecutable desde una ubicación remota. Además, logra la persistencia al inyectar código JavaScript en las aplicaciones Discord o Microsoft Visual Studio Code, activando así el lanzamiento del binario ladrón.
Luego, el binario procede a buscar la instalación de la aplicación de escritorio Exodus Wallet e inserta el código JavaScript en varios archivos HTML para recopilar y filtrar datos confidenciales a un webhook de Discord codificado.
El fragmento de JavaScript, por su parte, se obtiene de un sitio web de pegado en línea desde donde ya se eliminó. Dicho esto, se sospecha que el código pudo haber sido utilizado para robar las credenciales de los usuarios y acceder a otra información de interés.
«Los malos actores usaron técnicas de typosquatting para implementar una carga útil maliciosa personalizada […] que apunta a la billetera criptográfica Exodus y filtra las credenciales de la víctima a los intercambios de criptomonedas, mediante el uso de la inyección de código», dijo Shachar Menashe, director senior de JFrog Security Research.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
«Nuestra investigación demuestra que ningún repositorio de software de código abierto es completamente confiable, por lo que se deben tomar medidas de seguridad en cada paso del ciclo de vida del desarrollo del software para garantizar que la cadena de suministro del software permanezca segura».
Los hallazgos se producen cuando Phylum descubrió un paquete npm malicioso llamado mathjs-min que se cargó en el repositorio el 26 de marzo de 2023 y se descubrió que albergaba un ladrón de credenciales que toma las contraseñas de Discord de la aplicación oficial y de navegadores web como Google Chrome. Valiente y Ópera.
«Este paquete es en realidad una versión modificada de la biblioteca matemática Javascript ampliamente utilizada, mathjs, y se le inyectó un código malicioso después de ser bifurcado», dijo la firma de seguridad de la cadena de suministro de software. dicho. «La versión modificada se publicó luego en NPM con la intención de hacerla pasar como una versión reducida de la biblioteca genuina de mathjs».