Los expertos de JFrog advirtieron que los atacantes se dirigen a los desarrolladores .NET a través de paquetes maliciosos del repositorio NuGet e infectan sus sistemas con malware que roba criptomonedas..
Déjame recordarte que también dijimos que Los investigadores descubrieron cuatro paquetes npm que recopilaban datos de los usuarios, y también eso Log4j la vulnerabilidad amenaza 35,000 paquetes java.
También, especialistas en seguridad de la información informaron que 10 Malicioso PyPI Paquetes roban credenciales.
Los atacantes disfrazan sus paquetes. (tres de los cuales han sido descargados 150,000 veces en un mes) como herramientas populares de la vida real que utilizan tipos en cuclillas.
Los investigadores señalan que una gran cantidad de descargas puede indicar una gran cantidad de desarrolladores cuyos sistemas se vieron comprometidos., pero también es posible que los piratas informáticos hayan utilizado deliberadamente robots para impulsar artificialmente el «popularidad» de sus paquetes en NuGet.
También se observa que los atacantes utilizaron tipos en cuclillas al crear sus perfiles en NuGet., y traté de ser como Microsoft desarrolladores. La lista de paquetes utilizados por los piratas informáticos se puede ver a continuación..
Nombre del paquete | Dueño | Descargas | publicado | paquete real |
Núcleo de Coinbase | BinanceOficial | 121 900 | 2023-02-22 | Coinbase |
Anarquía.Wrapper.Net | Equipo de desarrollo oficial | 30 400 | 2023-02-21 | Envoltura de anarquía |
DiscordRichPresence.API | Equipo de desarrollo oficial | 14 100 | 2023-02-21 | DiscordRicoPresencia |
Avalon-Net-Core | joeIverhagen | 1200 | 2023-01-03 | Avalon |
Administrar.Carasel.Net | Equipo de desarrollo oficial | 559 | 2023-02-21 | N / A |
asip.net.core | BinanceOficial | 246 | 2023-02-22 | Microsoft.AspNetCore |
Formularios del sistema.26 | joeIverhagen | 205 | 2023-01-03 | Sistema.Windows.Forms |
Azetap.API | DevNuget | 153 | 2023-02-27 | N / A |
AvalonNetCore | Rahul Mohamed | 67 | 2023-01-04 | Avalon |
Json.Manager.Core | Mejores desarrolladores | 46 | 2023-03-12 | Nombre .NET estándar |
Núcleo.de.Windows.administrado | mahamadrohu | 37 | 2023-01-05 | Nombre .NET estándar |
Nexzor.Graphical.Designer.Core | impala | 36 | 2023-03-12 | N / A |
Azeta.API | Soubata | 28 | 2023-02-24 | N / A |
Los paquetes maliciosos fueron diseñados para descargar y ejecutar un Potencia Shell-script cuentagotas basado (calor.ps1) que configuró la máquina infectada para ejecutar PowerShell sin restricciones. En esta próxima fase del ataque, el script se descargó y ejecutó la carga útil, un archivo ejecutable de Windows descrito por los investigadores como un "ejecutable de carga útil completamente personalizado".
Los expertos dicen que este es un enfoque muy inusual en comparación con otros atacantes que utilizan principalmente herramientas de código abierto y malware estándar en lugar de crear sus propias cargas útiles..
El malware finalmente implementado en las máquinas comprometidas podría usarse para robar criptomonedas (extrayendo los datos de la billetera de criptomonedas de las víctimas a través de Discordia ganchos web), extraer y ejecutar código malicioso de Electrón archivo, y actualizando automáticamente desde el servidor de comando y control.