Ссылка скрыта от гостей
о новых атаках на разработчиков .NET через пакеты из репозитория NuGet. Злоумышленники маскируют свои вредоносные пакеты под реально существующие инструменты, используя технику тайпсквоттинга. Некоторые из этих пакетов были загружены более 150 000 раз за месяц, что может указывать на большое количество скомпрометированных систем разработчиков.Вредоносные пакеты содержат скрипт-дроппер на основе PowerShell, который настраивает зараженную машину на выполнение PowerShell без ограничений. На следующем этапе атаки запускается полезная нагрузка — полностью кастомный исполняемый файл Windows.
Эксперты отмечают, что такой подход к созданию вредоносных программ является необычным, поскольку обычно злоумышленники используют инструменты с открытым исходным кодом и стандартные вредоносные программы. Вредоносная программа, развернутая на скомпрометированных машинах, может быть использована для кражи криптовалюты, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.
Некоторые вредоносные пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, которые уже содержали вредоносный скрипт. Советуем разработчикам .NET быть внимательными при загрузке пакетов из NuGet и следить за безопасностью своих систем.