В NuGet вычистили вредоноса, за два месяца он мог выстрелить 170 000 раз

В NuGet вычистили вредоноса, за два месяца он мог выстрелить 170 000 раз

Исследователи из JFrog обнаружили новую атаку на цепочку поставок. В каталоге NuGet были найдены 13 вредоносных пакетов, за которыми на момент удаления суммарно числилось около 170 тыс. загрузок.

Вредоносные модули для .NET-проектов были опубликованы в период с 3 января по 12 марта. Чтобы ввести в заблуждение разработчиков софта, злоумышленники использовали тайпсквоттинг.

Наибольшее количество загрузок собрали фейки Coinbase.Core (> 120 тыс.), Anarchy.Wrapper.Net (> 30 тыс.) и DiscordRichPresence.API (> 14 тыс.). Эксперты не исключают, что счет был искусственно вздут с помощью ботов, чтобы усилить иллюзию легитимности.

Вредоносная начинка во всех случаях одинакова: это PowerShell-сценарий, автоматически исполняемый при установке пакета. Скрипт изменяет системные настройки, чтобы снять ограничения на запуск PowerShell, и загружает с удаленного сервера целевой пейлоад — исполняемый файл Windows.

Анализ показал, что это кастомный зловред, умеющий воровать криптовалюту (выводит содержимое кошельков с помощью вебхуков Discord), извлекать и запускать коды из архивов Electron, а также получать с C2 обновления. Уровень детектирования вредоноса очень низкий, штатная защита Windows — Microsoft Defender — его тоже не обнаруживает.

Проведение атаки облегчило наличие в устаревших версиях Visual Studio опции, позволяющей внести вредоносный PowerShell в папку tools пакета NuGet: это обеспечило скрипту автозапуск при определенных событиях — в данном случае при установке модуля. Более новые версии Visual Studio игнорируют install.ps1 и uninstall.ps1, но допускают беспрепятственный запуск init.ps1, и даже не выводят предупреждение.

Подобные механизмы автозапуска, по словам экспертов, являются основной причиной большого количества злоупотреблений в экосистемах NPM и PyPI. На NuGet.org такого разгула до сих пор не наблюдалось.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишеры атакуют небольшие российские организации под видом компании из Дубая

В новой фишинговой кампании киберпреступники пытаются достать учётные данные от почтовых ящиков сотрудников небольших российских организаций. Для прикрытия используется некая дубайская компания, которую интересует наличие продукта.

Как выяснили специалисты «Лаборатории Касперского», злоумышленники пишут целевым сотрудникам от имени главы отдела закупок дубайской компании. Их интересует наличие того или иного товара или аналогичные модели.

Подробностей в этих электронных письмах нет, зато есть ссылка, которая с виду ведёт на файлообменник, где можно посмотреть детали заказа на поставку. Если работник кликнет по такому URL, его переведут на фейковую страницу, имитирующую окно аутентификации популярного почтового сервиса.

Само собой, введя логин и пароль на этой странице, вы отправляете их прямиком в руки фишеров, а у последних появляется полный доступ к вашему почтовому ящику.

Более того, заполучив контроль над вашим имейлом, злоумышленник может сбрасывать пароли на других сайтах (где ящик использовался при регистрации).

Киберпреступники предусмотрительно составляют фишинговые письма на русском языке, причём делают это даже без опечаток, как отметили исследователи из Kaspersky.

Тем не менее можно сразу отметить несколько моментов, как минимум вызывающих подозрения: например, письмо приходит с личного, а не корпоративного имейла; более того, отправитель обращается на «ты» и начинает письмо со слова «привет». Такое, конечно, недопустимо в деловой переписке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru