A .NET-szoftverfejlesztők számára a NuGet tárhelyen tárolt tucatnyi csomag valójában rosszindulatú trójai komponens, amely kompromittálja a telepítőrendszert, és letölti a titkosítást ellopó rosszindulatú programokat hátsó ajtó funkcióval.
A JFrog szoftverellátási lánc biztonsági cég egy március 21-én közzétett elemzésében kijelentette, hogy az azóta eltávolított 13 csomagot több mint 166,000 1 alkalommal töltötték le, és más legitim szoftvereket, például Coinbase-t és Microsoft ASP.NET-et adnak ki. A JFrog akkor észlelte a támadást, amikor a vállalat kutatói gyanús tevékenységet észleltek, amikor egy fájl – az init.psXNUMX – telepítéskor lefutott, majd letöltött egy végrehajtható fájlt és lefuttatta azt.
A rosszindulatú kód felfedezése rávilágít arra, hogy a támadók tovább ágaznak ki a szoftverellátási láncba, hogy így kompromittáljanak az óvatlan fejlesztőket, jóllehet a .NET és a C# programozási nyelvek kevésbé ismertek a támadók körében – mondta Shachar Menashe, a biztonsági kutatásért felelős igazgatója. JFrog.
"A NuGet csomagtelepítéskor a rosszindulatú kód futtatására szolgáló technikák, bár triviálisak, kevésbé dokumentáltak, mint a Pythonban vagy a JavaScriptben, és ezek közül néhányat elavult, így néhány kezdő támadó azt gondolhatja, hogy ez nem lehetséges" - mondja. "És talán a NuGet jobban automatizálta a rosszindulatú csomagok szűrését."
A szoftverellátási lánc egyre inkább a támadók célpontjává vált, amikor megpróbálják feltörni a fejlesztők rendszereit, vagy észrevétlen kódot terjeszteni a végfelhasználókhoz a fejlesztők alkalmazásain keresztül. A Python Package Index (PyPI) és a JavaScript-központú Node Package Manager (npm) ökoszisztémák gyakori az ellátási lánc támadásainak célpontjai nyílt forráskódú projekteket céloz meg.
A .NET szoftveres ökoszisztéma elleni támadás, amely abból áll közel 350,000 XNUMX egyedi csomagA JFrog szerint ez az első alkalom, hogy rosszindulatú csomagok célozzák a NuGetet, bár a vállalat megjegyezte, hogy egy spamkampány korábban adathalász linkeket tolt a fejlesztőknek.
A gépelés továbbra is probléma
A támadás rávilágít arra, hogy a gépelés továbbra is problémát jelent. Ez a támadási stílus magában foglalja a hasonló hangzású nevű csomagok létrehozását – vagy az azonos nevű, gyakori helyesírási hibákat –, mint jogos csomagokat, abban a reményben, hogy a felhasználó félregépel egy közös csomagot, vagy nem veszi észre a hibákat.
A JFrog kutatói szerint a fejlesztőknek alaposan meg kell nézniük az új csomagokat, mielőtt egy programozási projektbe bevonnák őket Natan Nehorai és Brian Moussalli írta az online tanácsadóban.
"Annak ellenére, hogy a NuGet adattárában nem figyeltek meg korábbi rosszindulatú kódok támadásait, sikerült bizonyítékot találnunk legalább egy közelmúltbeli kampányra, amely olyan módszereket használt, mint például a typosquatting rosszindulatú kód terjesztése" - írták. „A többi adattárhoz hasonlóan a szoftverfejlesztési életciklus minden lépésében biztonsági intézkedéseket kell tenni annak érdekében, hogy a szoftverellátási lánc biztonságos maradjon.”
Az azonnali kódvégrehajtás problémás
A fejlesztőeszközök által automatikusan végrehajtott fájlok biztonsági gyengeséget jelentenek, ezért ki kell küszöbölni vagy korlátozni kell őket a támadási felület csökkentése érdekében – állították ki a kutatók. Ez a funkció jelentős oka annak, hogy az npm és a PyPI ökoszisztémák mérgező problémákkal küzdenek, például a Go csomag ökoszisztémához képest.
"Annak ellenére, hogy a felfedezett rosszindulatú csomagokat azóta eltávolították a NuGetből, a .NET fejlesztői továbbra is nagy kockázatnak vannak kitéve a rosszindulatú kódokkal szemben, mivel a NuGet csomagok továbbra is tartalmaznak lehetőséget a kód azonnali futtatására a csomag telepítése után" - állították a JFrog kutatói a blogbejegyzésben. . "[A]bár elavult, az [inicializáló] szkriptet a Visual Studio továbbra is tiszteletben tartja, és figyelmeztetés nélkül fut egy NuGet-csomag telepítésekor."
A JFrog azt tanácsolta a fejlesztőknek, hogy ellenőrizzék az elírásokat az importált és telepített csomagokban, és azt mondta, hogy a fejlesztőknek ügyelniük kell arra, hogy ne „véletlenül telepítsék őket a projektjükbe, és ne említsék meg őket függőségként” – közölte a cég.
Ezenkívül a fejlesztőknek meg kell nézniük a csomagok tartalmát, hogy megbizonyosodjanak arról, hogy nincsenek letöltött és automatikusan végrehajtott futtatható fájlok. Bár az ilyen fájlok gyakoriak egyes szoftver-ökoszisztémákban, általában rosszindulatú szándékra utalnak.
Különféle ellenintézkedések révén a NuGet adattár – csakúgy, mint az npm és a PyPI – lassan, de biztosan kiküszöböli a biztonsági hiányosságokat – mondja a JFrog's Menashe.
„Nem számítok arra, hogy a NuGet a jövőben nagyobb célponttá váljon, különösen akkor, ha a NuGet karbantartói teljesen eltávolítanák a kód futtatásának támogatását a csomagtelepítéskor – amit részben már meg is tettek” – mondja.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :is
- 000
- 7
- a
- Képes
- Szerint
- tevékenység
- tulajdonképpen
- mellett
- már
- Bár
- között
- elemzés
- és a
- alkalmazások
- VANNAK
- TERÜLET
- AS
- Asp.net
- At
- támadás
- Támadások
- Kísérletek
- Automatizált
- automatikusan
- hátsó ajtó
- BE
- válik
- előtt
- hogy
- Jobb
- Blog
- Brian
- by
- Kampány
- lánc
- ellenőrizze
- kód
- coinbase
- Közös
- vállalat
- képest
- alkatrészek
- kompromisszum
- tartalmaz
- tartalom
- tovább
- Függőség
- Ellenére
- észlelt
- fejlesztők
- Fejlesztés
- fejlesztési eszközök
- fejlesztőkkel
- Igazgató
- felfedezett
- felfedezés
- letöltés
- tucat
- ökoszisztéma
- ökoszisztémák
- Eltüntetett
- megszüntetése
- biztosítására
- hibák
- különösen
- Még
- Minden
- bizonyíték
- végrehajtás
- vár
- filé
- Fájlok
- szűrő
- Találjon
- Cég
- vezetéknév
- első
- A
- ból ből
- teljesen
- funkcionalitás
- további
- jövő
- kap
- Ad
- Go
- jó
- Legyen
- Magas
- kiemeli
- megbecsült
- reméli,
- házigazdája
- HTTPS
- i
- azonnal
- in
- Beleértve
- egyre inkább
- index
- jelzés
- telepíteni
- telepítve
- telepítése
- A szándék
- kérdések
- IT
- JavaScript
- jpg
- ismert
- Nyelvek
- kevesebb
- életciklus
- Korlátozott
- linkek
- néz
- csinál
- malware
- menedzser
- március
- intézkedések
- mód
- microsoft
- több
- név
- nevek
- közel
- háló
- Új
- csomópont
- neves
- novícius
- of
- on
- ONE
- online
- nyitva
- nyílt forráskódú
- Más
- csomag
- csomagok
- talán
- Adathalászat
- Plató
- Platón adatintelligencia
- PlatoData
- lehetséges
- állás
- Előzetes
- Probléma
- Programozás
- programozási nyelvek
- program
- projektek
- közzétett
- meglökött
- Piton
- ok
- új
- csökkenteni
- maradványok
- eltávolítása
- eltávolított
- raktár
- kutatás
- kutatók
- Kockázat
- futás
- futás
- s
- Biztonság
- Mondott
- azonos
- azt mondja,
- biztonság
- biztonság
- kellene
- jelentős
- hasonló
- óta
- Lassan
- So
- szoftver
- Szoftverfejlesztők
- szoftverfejlesztés
- néhány
- forrás
- meghatározott
- Lépés
- Még mindig
- stúdió
- stílus
- ilyen
- kínálat
- ellátási lánc
- támogatás
- biztosan
- felületi
- gyanús
- rendszer
- Systems
- cél
- célzott
- célzás
- technikák
- hogy
- A
- A jövő
- azok
- Őket
- Keresztül
- idő
- alkalommal
- nak nek
- szerszámok
- trójai
- egyedi
- használó
- rendszerint
- fajta
- Megnézem
- figyelmeztetés
- Út..
- gyengeség
- JÓL
- ami
- míg
- lesz
- val vel
- nélkül
- Nyerte
- zephyrnet