.NET ソフトウェア開発者向けの NuGet リポジトリでホストされているベイカーの多数のパッケージは、実際には、インストール システムを侵害し、バックドア機能を備えた暗号を盗むマルウェアをダウンロードする悪意のあるトロイの木馬コンポーネントです。
ソフトウェア サプライ チェーンのセキュリティ会社である JFrog は、21 月 13 日に公開された分析の中で、削除された 166,000 個のパッケージが 1 回以上ダウンロードされており、Coinbase や Microsoft ASP.NET などの他の正当なソフトウェアになりすましていると述べています。 JFrog の研究者が、ファイル (init.psXNUMX) がインストール時に実行され、実行可能ファイルをダウンロードして実行したときの疑わしいアクティビティに気付いたときに、JFrog が攻撃を検出しました。
悪意のあるコードの発見は、.NET と C# プログラミング言語が攻撃者の間であまり知られていないにもかかわらず、攻撃者が不注意な開発者を侵害する方法として、ソフトウェア サプライ チェーンにさらに手を広げていることを浮き彫りにしています。 Jフロッグ。
「NuGet パッケージのインストール時に悪意のあるコードを実行する手法は、ささいなことではありますが、Python や JavaScript よりも文書化されておらず、一部の手法は非推奨になっているため、初心者の攻撃者はそれが不可能だと考えるかもしれません」と彼は言います。 「そしておそらく、NuGet の方が悪意のあるパッケージの自動フィルタリングが優れているでしょう。」
ソフトウェア サプライ チェーンは、開発者のシステムを侵害したり、開発者のアプリケーションを介してエンド ユーザーに気付かれずにコードを広めようとする攻撃者の標的になることが増えています。 Python Package Index (PyPI) と JavaScript 中心の Node Package Manager (npm) エコシステムは、 頻繁な サプライチェーン攻撃の標的 オープンソース プロジェクトを対象としています。
で構成される .NET ソフトウェア エコシステムへの攻撃 約 350,000 のユニークなパッケージJFrog によると、悪意のあるパッケージが NuGet を標的にしたのは初めてのことです。 以前に開発者にフィッシング リンクをプッシュした.
タイポスクワッティングは依然として問題
この攻撃は、タイポスクワッティングが引き続き問題であることを強調しています。 このような攻撃スタイルでは、ユーザーがよくあるパッケージを間違えたり、エラーに気付かなかったりすることを期待して、似たような響きの名前 (またはよくあるスペル ミスのある同じ名前) のパッケージを正当なパッケージとして作成します。
開発者は、新しいパッケージをプログラミング プロジェクトに含める前に、見栄えをよくする必要があります。JFrog の研究者 Natan Nehorai と Brian Moussalli は、オンライン アドバイザリーに次のように書いています。.
「NuGet リポジトリで以前に悪意のあるコードによる攻撃は観察されませんでしたが、タイポスクワッティングなどの方法を使用して悪意のあるコードを広める最近のキャンペーンの少なくとも XNUMX つの証拠を見つけることができました」と彼らは書いています。 「他のリポジトリと同様に、ソフトウェア サプライ チェーンの安全性を確保するために、ソフトウェア開発ライフサイクルのすべての段階で安全対策を講じる必要があります。」
コードの即時実行には問題がある
開発ツールによって自動的に実行されるファイルはセキュリティ上の弱点であり、攻撃対象領域を減らすために排除または制限する必要があると研究者は述べています。 この機能は、たとえば Go パッケージのエコシステムと比較して、npm と PyPI のエコシステムにポイズニングの問題がある重要な理由です。
「発見された悪意のあるパッケージが NuGet から削除されたという事実にもかかわらず、NuGet パッケージにはパッケージのインストール直後にコードを実行する機能がまだ含まれているため、.NET 開発者は依然として悪意のあるコードの危険にさらされています」と JFrog の研究者はブログ投稿で述べています。 . 「[A] 廃止されましたが、[初期化] スクリプトは Visual Studio で引き続き使用され、NuGet パッケージのインストール時に警告なしで実行されます。」
JFrog は、インポートおよびインストールされたパッケージのタイプミスを開発者に確認するようにアドバイスし、開発者は「誤ってそれらをプロジェクトにインストールしたり、依存関係として言及したり」しないようにする必要があると同社は述べています。
さらに、開発者はパッケージの内容を表示して、ダウンロードされて自動的に実行される実行可能ファイルがないことを確認する必要があります。 このようなファイルは一部のソフトウェア エコシステムでは一般的ですが、通常は悪意を示しています。
さまざまな対策により、NuGet リポジトリ (および npm と PyPI) はゆっくりとではあるが確実にセキュリティの弱点を解消しつつある、と JFrog の Menashe 氏は述べています。
「特に NuGet メンテナーがパッケージのインストール時にコードを実行するためのサポートを完全に削除した場合、NuGet が将来さらに標的になるとは思いません。すでに部分的に実行しています」と彼は言います。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :は
- 000
- 7
- a
- できる
- 従った
- アクティビティ
- 実際に
- 添加
- 既に
- しかし
- 間で
- 分析
- および
- です
- AREA
- AS
- アスプネット
- At
- 攻撃
- 攻撃
- 試み
- 自動化
- 自動的に
- 裏口
- BE
- になる
- さ
- より良いです
- ブログ
- ブライアン
- by
- キャンペーン
- チェーン
- チェック
- コード
- coinbase
- コマンドと
- 会社
- 比べ
- コンポーネント
- 妥協
- 含む
- 中身
- 続ける
- 依存関係
- にもかかわらず
- 検出された
- 開発者
- 開発
- 開発ツール
- 開発者
- 取締役
- 発見
- 発見
- ダウンロード
- ダース
- エコシステム
- 生態系
- 除去された
- 排除
- 確保
- エラー
- 特に
- さらに
- あらゆる
- 証拠
- 実行
- 期待する
- File
- フィルタリング
- もう完成させ、ワークスペースに掲示しましたか?
- 会社
- 名
- 初回
- から
- 完全に
- 機能性
- さらに
- 未来
- 取得する
- 与える
- Go
- 良い
- 持ってる
- ハイ
- ハイライト
- 名誉ある
- 期待している
- 主催
- HTTPS
- i
- 直ちに
- in
- 含めて
- ますます
- index
- 表示
- install
- インストール
- インストールする
- 意図
- 問題
- IT
- JavaScriptを
- JPG
- 既知の
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- より少ない
- wifecycwe
- 限定的
- リンク
- 見て
- make
- マルウェア
- マネージャー
- 3月
- 措置
- メソッド
- Microsoft
- 他には?
- 名
- 名
- ほぼ
- net
- 新作
- 注意
- 初心者
- of
- on
- ONE
- オンライン
- 開いた
- オープンソース
- その他
- パッケージ
- パッケージ
- おそらく
- フィッシング詐欺
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 可能
- ポスト
- 事前の
- 問題
- プログラミング
- プログラミング言語
- プロジェクト
- プロジェクト(実績作品)
- 公表
- プッシュ
- Python
- 理由
- 最近
- 減らします
- 残っている
- 削除します
- 削除済み
- 倉庫
- 研究
- 研究者
- リスク
- ラン
- ランニング
- s
- 安全性
- 前記
- 同じ
- 言う
- 安全に
- セキュリティ
- すべき
- 重要
- 同様の
- から
- ゆっくり
- So
- ソフトウェア
- ソフトウェア開発者
- ソフトウェア開発
- 一部
- ソース
- 明記
- 手順
- まだ
- 研究
- そのような
- 供給
- サプライチェーン
- サポート
- 確かに
- 表面
- 疑わしい
- システム
- ターゲット
- 対象となります
- ターゲット
- テクニック
- それ
- 未来
- アプリ環境に合わせて
- それら
- 介して
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 豊富なツール群
- トロイの
- ユニーク
- ユーザー
- 通常
- 多様
- 詳しく見る
- 警告
- 仕方..
- 弱点
- WELL
- which
- while
- 意志
- 無し
- 勝った
- ゼファーネット