Rosszindulatú NuGet csomagokkal célzott .NET fejlesztők

A .NET-szoftverfejlesztők számára a NuGet tárhelyen tárolt tucatnyi csomag valójában rosszindulatú trójai komponens, amely kompromittálja a telepítőrendszert, és letölti a titkosítást ellopó rosszindulatú programokat hátsó ajtó funkcióval.

A JFrog szoftverellátási lánc biztonsági cég egy március 21-én közzétett elemzésében kijelentette, hogy az azóta eltávolított 13 csomagot több mint 166,000 1 alkalommal töltötték le, és más legitim szoftvereket, például Coinbase-t és Microsoft ASP.NET-et adnak ki. A JFrog akkor észlelte a támadást, amikor a vállalat kutatói gyanús tevékenységet észleltek, amikor egy fájl – az init.psXNUMX – telepítéskor lefutott, majd letöltött egy végrehajtható fájlt és lefuttatta azt.

A rosszindulatú kód felfedezése rávilágít arra, hogy a támadók tovább ágaznak ki a szoftverellátási láncba, hogy így kompromittáljanak az óvatlan fejlesztőket, jóllehet a .NET és a C# programozási nyelvek kevésbé ismertek a támadók körében – mondta Shachar Menashe, a biztonsági kutatásért felelős igazgatója. JFrog.

"A NuGet csomagtelepítéskor a rosszindulatú kód futtatására szolgáló technikák, bár triviálisak, kevésbé dokumentáltak, mint a Pythonban vagy a JavaScriptben, és ezek közül néhányat elavult, így néhány kezdő támadó azt gondolhatja, hogy ez nem lehetséges" - mondja. "És talán a NuGet jobban automatizálta a rosszindulatú csomagok szűrését."

A szoftverellátási lánc egyre inkább a támadók célpontjává vált, amikor megpróbálják feltörni a fejlesztők rendszereit, vagy észrevétlen kódot terjeszteni a végfelhasználókhoz a fejlesztők alkalmazásain keresztül. A Python Package Index (PyPI) és a JavaScript-központú Node Package Manager (npm) ökoszisztémák gyakori az ellátási lánc támadásainak célpontjai nyílt forráskódú projekteket céloz meg.

A .NET szoftveres ökoszisztéma elleni támadás, amely abból áll közel 350,000 XNUMX egyedi csomagA JFrog szerint ez az első alkalom, hogy rosszindulatú csomagok célozzák a NuGetet, bár a vállalat megjegyezte, hogy egy spamkampány korábban adathalász linkeket tolt a fejlesztőknek.

A gépelés továbbra is probléma

A támadás rávilágít arra, hogy a gépelés továbbra is problémát jelent. Ez a támadási stílus magában foglalja a hasonló hangzású nevű csomagok létrehozását – vagy az azonos nevű, gyakori helyesírási hibákat –, mint jogos csomagokat, abban a reményben, hogy a felhasználó félregépel egy közös csomagot, vagy nem veszi észre a hibákat.

A JFrog kutatói szerint a fejlesztőknek alaposan meg kell nézniük az új csomagokat, mielőtt egy programozási projektbe bevonnák őket Natan Nehorai és Brian Moussalli írta az online tanácsadóban.

"Annak ellenére, hogy a NuGet adattárában nem figyeltek meg korábbi rosszindulatú kódok támadásait, sikerült bizonyítékot találnunk legalább egy közelmúltbeli kampányra, amely olyan módszereket használt, mint például a typosquatting rosszindulatú kód terjesztése" - írták. „A többi adattárhoz hasonlóan a szoftverfejlesztési életciklus minden lépésében biztonsági intézkedéseket kell tenni annak érdekében, hogy a szoftverellátási lánc biztonságos maradjon.”

Az azonnali kódvégrehajtás problémás

A fejlesztőeszközök által automatikusan végrehajtott fájlok biztonsági gyengeséget jelentenek, ezért ki kell küszöbölni vagy korlátozni kell őket a támadási felület csökkentése érdekében – állították ki a kutatók. Ez a funkció jelentős oka annak, hogy az npm és a PyPI ökoszisztémák mérgező problémákkal küzdenek, például a Go csomag ökoszisztémához képest.

"Annak ellenére, hogy a felfedezett rosszindulatú csomagokat azóta eltávolították a NuGetből, a .NET fejlesztői továbbra is nagy kockázatnak vannak kitéve a rosszindulatú kódokkal szemben, mivel a NuGet csomagok továbbra is tartalmaznak lehetőséget a kód azonnali futtatására a csomag telepítése után" - állították a JFrog kutatói a blogbejegyzésben. . "[A]bár elavult, az [inicializáló] szkriptet a Visual Studio továbbra is tiszteletben tartja, és figyelmeztetés nélkül fut egy NuGet-csomag telepítésekor."

A JFrog azt tanácsolta a fejlesztőknek, hogy ellenőrizzék az elírásokat az importált és telepített csomagokban, és azt mondta, hogy a fejlesztőknek ügyelniük kell arra, hogy ne „véletlenül telepítsék őket a projektjükbe, és ne említsék meg őket függőségként” – közölte a cég.

Ezenkívül a fejlesztőknek meg kell nézniük a csomagok tartalmát, hogy megbizonyosodjanak arról, hogy nincsenek letöltött és automatikusan végrehajtott futtatható fájlok. Bár az ilyen fájlok gyakoriak egyes szoftver-ökoszisztémákban, általában rosszindulatú szándékra utalnak.

Különféle ellenintézkedések révén a NuGet adattár – csakúgy, mint az npm és a PyPI – lassan, de biztosan kiküszöböli a biztonsági hiányosságokat – mondja a JFrog's Menashe. 

„Nem számítok arra, hogy a NuGet a jövőben nagyobb célponttá váljon, különösen akkor, ha a NuGet karbantartói teljesen eltávolítanák a kód futtatásának támogatását a csomagtelepítéskor – amit részben már meg is tettek” – mondja.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages