Selusin paket pembuat roti yang dihosting di repositori NuGet untuk pengembang perangkat lunak .NET sebenarnya adalah komponen Trojan berbahaya yang akan membahayakan sistem instalasi dan mengunduh malware pencuri kripto dengan fungsionalitas pintu belakang.
Perusahaan keamanan rantai pasokan perangkat lunak JFrog menyatakan dalam analisis yang diterbitkan 21 Maret bahwa 13 paket, yang telah dihapus, telah diunduh lebih dari 166,000 kali dan meniru perangkat lunak sah lainnya, seperti Coinbase dan Microsoft ASP.NET. JFrog mendeteksi serangan tersebut ketika peneliti perusahaan mencatat aktivitas mencurigakan ketika sebuah file โ init.ps1 โ dijalankan saat penginstalan dan kemudian mengunduh file yang dapat dieksekusi dan menjalankannya.
Penemuan kode berbahaya menyoroti bahwa penyerang semakin bercabang ke dalam rantai pasokan perangkat lunak sebagai cara untuk mengkompromikan pengembang yang tidak waspada, meskipun bahasa pemrograman .NET dan C# kurang dikenal di kalangan penyerang, kata Shachar Menashe, direktur penelitian keamanan untuk JFrog.
โTeknik untuk mengeksekusi kode berbahaya pada penginstalan paket NuGet, meski sepele, kurang didokumentasikan dibandingkan dengan Python atau JavaScript, dan beberapa di antaranya sudah tidak digunakan lagi, sehingga beberapa penyerang pemula mungkin berpikir itu tidak mungkin,โ katanya. โDan mungkin NuGet memiliki pemfilteran otomatis yang lebih baik dari paket berbahaya.โ
Rantai pasokan perangkat lunak semakin menjadi sasaran penyerang dengan upaya untuk mengkompromikan sistem pengembang atau menyebarkan kode tanpa diketahui ke pengguna akhir melalui aplikasi pengembang. Python Package Index (PyPI) dan ekosistem Node Package Manager (npm) yang berfokus pada JavaScript adalah sering target serangan rantai pasokan menargetkan proyek sumber terbuka.
Serangan terhadap ekosistem perangkat lunak .NET, yang terdiri dari hampir 350,000 paket unik, adalah pertama kalinya paket jahat menargetkan NuGet, menurut JFrog, meskipun perusahaan mencatat bahwa kampanye spam telah sebelumnya mendorong tautan phishing ke pengembang.
Typosquatting Masih Masalah
Serangan tersebut menggarisbawahi bahwa kesalahan ketik terus menjadi masalah. Gaya serangan itu melibatkan pembuatan paket dengan nama yang mirip โ atau nama yang sama dengan kesalahan ejaan yang umum โ sebagai paket yang sah, dengan harapan pengguna akan salah mengetik paket umum atau tidak akan menyadari kesalahannya.
Pengembang harus memberikan tampilan yang baik pada paket baru sebelum memasukkannya ke dalam proyek pemrograman, peneliti JFrog Natan Nehorai dan Brian Moussalli menulis dalam penasehat online.
โMeskipun tidak ada serangan kode berbahaya sebelumnya yang diamati di repositori NuGet, kami dapat menemukan bukti untuk setidaknya satu kampanye baru-baru ini menggunakan metode seperti kesalahan ketik untuk menyebarkan kode berbahaya,โ tulis mereka. โSeperti repositori lainnya, langkah-langkah keamanan harus diambil di setiap langkah siklus hidup pengembangan perangkat lunak untuk memastikan rantai pasokan perangkat lunak tetap aman.โ
Eksekusi Kode Langsung Bermasalah
File yang dijalankan secara otomatis oleh alat pengembangan merupakan kelemahan keamanan dan harus dihilangkan atau dibatasi untuk mengurangi area permukaan serangan, kata para peneliti. Fungsionalitas itu adalah alasan penting mengapa ekosistem npm dan PyPI memiliki masalah peracunan, dibandingkan dengan, katakanlah, ekosistem paket Go.
โTerlepas dari fakta bahwa paket berbahaya yang ditemukan telah dihapus dari NuGet, pengembang .NET masih berisiko tinggi dari kode berbahaya karena paket NuGet masih berisi fasilitas untuk menjalankan kode segera setelah instalasi paket,โ kata para peneliti JFrog di posting blog. . โ[A] meskipun sudah usang, skrip [inisialisasi] masih dihormati oleh Visual Studio dan akan berjalan tanpa peringatan apa pun saat menginstal paket NuGet.โ
JFrog menyarankan pengembang untuk memeriksa kesalahan ketik dalam paket yang diimpor dan diinstal dan mengatakan bahwa pengembang harus memastikan untuk tidak "menginstalnya secara tidak sengaja dalam proyek mereka, atau menyebut mereka sebagai ketergantungan," kata perusahaan itu.
Selain itu, pengembang harus melihat isi paket untuk memastikan tidak ada file yang dapat dieksekusi yang diunduh dan dieksekusi secara otomatis. Meskipun file seperti itu biasa terjadi di beberapa ekosistem perangkat lunak, file tersebut biasanya merupakan indikasi niat jahat.
Melalui berbagai penanggulangan, repositori NuGet โ serta npm dan PyPI โ secara perlahan, tapi pasti, menghilangkan kelemahan keamanan, kata Menashe dari JFrog.
โSaya tidak berharap NuGet menjadi target yang lebih besar di masa depan, terutama jika pengelola NuGet menghapus sepenuhnya dukungan untuk menjalankan kode pada penginstalan paket โ yang sebagian telah mereka lakukan,โ katanya.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :adalah
- 000
- 7
- a
- Sanggup
- Menurut
- kegiatan
- sebenarnya
- tambahan
- sudah
- Meskipun
- antara
- analisis
- dan
- aplikasi
- ADALAH
- DAERAH
- AS
- Asp.net
- At
- menyerang
- Serangan
- Mencoba
- Otomatis
- secara otomatis
- pintu belakang
- BE
- menjadi
- sebelum
- makhluk
- Lebih baik
- Blog
- Brian
- by
- Kampanye
- rantai
- memeriksa
- kode
- coinbase
- Umum
- perusahaan
- dibandingkan
- komponen
- kompromi
- mengandung
- isi
- terus
- Ketergantungan
- Meskipun
- terdeteksi
- pengembang
- Pengembangan
- alat pengembangan
- Devs
- Kepala
- ditemukan
- penemuan
- Download
- lusin
- ekosistem
- Ekosistem
- dieliminasi
- menghilangkan
- memastikan
- kesalahan
- terutama
- Bahkan
- Setiap
- bukti
- eksekusi
- mengharapkan
- File
- File
- penyaringan
- Menemukan
- Perusahaan
- Pertama
- pertama kali
- Untuk
- dari
- sepenuhnya
- fungsi
- lebih lanjut
- masa depan
- mendapatkan
- Memberikan
- Go
- baik
- Memiliki
- High
- highlight
- terhormat
- berharap
- host
- HTTPS
- i
- segera
- in
- Termasuk
- makin
- indeks
- indikasi
- install
- diinstal
- Instalasi
- maksud
- masalah
- IT
- JavaScript
- jpg
- dikenal
- Bahasa
- lebih rendah
- siklus hidup
- Terbatas
- link
- melihat
- membuat
- malware
- manajer
- March
- ukuran
- metode
- Microsoft
- lebih
- nama
- nama
- hampir
- bersih
- New
- simpul
- terkenal
- pemula
- of
- on
- ONE
- secara online
- Buka
- open source
- Lainnya
- paket
- paket
- mungkin
- Phishing
- plato
- Kecerdasan Data Plato
- Data Plato
- mungkin
- Pos
- Sebelumnya
- Masalah
- Pemrograman
- bahasa pemrograman
- proyek
- memprojeksikan
- diterbitkan
- terdorong
- Ular sanca
- alasan
- baru
- menurunkan
- sisa
- menghapus
- Dihapus
- gudang
- penelitian
- peneliti
- Risiko
- Run
- berjalan
- s
- Safety/keselamatan
- Tersebut
- sama
- mengatakan
- aman
- keamanan
- harus
- penting
- mirip
- sejak
- Perlahan
- So
- Perangkat lunak
- Pengembang Perangkat Lunak
- pengembangan perangkat lunak
- beberapa
- sumber
- menyatakan
- Langkah
- Masih
- studio
- gaya
- seperti itu
- menyediakan
- supply chain
- mendukung
- Pasti
- Permukaan
- mencurigakan
- sistem
- sistem
- target
- ditargetkan
- penargetan
- teknik
- bahwa
- Grafik
- Masa depan
- mereka
- Mereka
- Melalui
- waktu
- kali
- untuk
- alat
- Trojan
- unik
- Pengguna
- biasanya
- variasi
- View
- peringatan
- Cara..
- kelemahan
- BAIK
- yang
- sementara
- akan
- dengan
- tanpa
- Won
- zephyrnet.dll
