Tuzin piekarzy pakietów hostowanych w repozytorium NuGet dla twórców oprogramowania .NET to w rzeczywistości złośliwe komponenty trojana, które zagrażają systemowi instalacyjnemu i pobierają złośliwe oprogramowanie kradnące kryptowaluty z funkcją backdoora.
Firma JFrog zajmująca się bezpieczeństwem łańcucha dostaw oprogramowania stwierdziła w analizie opublikowanej 21 marca, że 13 pakietów, które zostały usunięte, zostało pobranych ponad 166,000 1 razy i podszywa się pod inne legalne oprogramowanie, takie jak Coinbase i Microsoft ASP.NET. JFrog wykrył atak, gdy badacze firmy zauważyli podejrzaną aktywność, gdy plik — init.psXNUMX — wykonywał się podczas instalacji, a następnie pobierał plik wykonywalny i uruchamiał go.
Odkrycie złośliwego kodu pokazuje, że atakujący coraz bardziej wkraczają w łańcuch dostaw oprogramowania, aby narazić na niebezpieczeństwo nieostrożnych programistów, mimo że .NET i języki programowania C# są mniej znane wśród atakujących, mówi Shachar Menashe, dyrektor ds. JŻaba.
„Techniki wykonywania złośliwego kodu podczas instalacji pakietu NuGet, choć trywialne, są mniej udokumentowane niż w Pythonie czy JavaScript, a niektóre z nich zostały wycofane, więc niektórzy początkujący atakujący mogą pomyśleć, że nie jest to możliwe” — mówi. „I być może NuGet ma lepsze automatyczne filtrowanie złośliwych pakietów”.
Łańcuch dostaw oprogramowania staje się coraz częściej celem atakujących, którzy próbują złamać zabezpieczenia systemów programistów lub rozesłać niezauważony kod do użytkownika końcowego za pośrednictwem aplikacji programistów. Są to ekosystemy Python Package Index (PyPI) i zorientowany na JavaScript Node Package Manager (npm). częsty cele ataków na łańcuch dostaw ukierunkowane na projekty open source.
Atak na ekosystem oprogramowania .NET, na który składa się blisko 350,000 XNUMX unikalnych opakowań, według JFrog po raz pierwszy złośliwe pakiety zaatakowały NuGet, chociaż firma zauważyła, że kampania spamowa miała wcześniej wysyłał linki phishingowe do programistów.
Typosquatting wciąż stanowi problem
Atak podkreśla, że typosquatting nadal stanowi problem. Ten styl ataku polega na tworzeniu pakietów o podobnie brzmiących nazwach — lub o tej samej nazwie z typowymi błędami ortograficznymi — jako prawdziwych, w nadziei, że użytkownik pomyli wspólny pakiet lub nie zauważy błędów.
Deweloperzy powinni dobrze przyjrzeć się nowym pakietom przed włączeniem ich do projektu programistycznego, badacze JFrog Natan Nehorai i Brian Moussalli napisali w internetowym poradniku.
„Mimo że w repozytorium NuGet nie zaobserwowano żadnych wcześniejszych ataków złośliwym kodem, udało nam się znaleźć dowody na co najmniej jedną niedawną kampanię wykorzystującą metody takie jak typosquatting w celu propagowania złośliwego kodu” – napisali. „Podobnie jak w przypadku innych repozytoriów, środki bezpieczeństwa należy podejmować na każdym etapie cyklu tworzenia oprogramowania, aby zapewnić bezpieczeństwo łańcucha dostaw oprogramowania”.
Natychmiastowe wykonanie kodu jest problematyczne
Naukowcy stwierdzili, że pliki, które są automatycznie uruchamiane przez narzędzia programistyczne, stanowią lukę w zabezpieczeniach i powinny zostać wyeliminowane lub ograniczone, aby zmniejszyć powierzchnię ataku. Ta funkcjonalność jest istotnym powodem, dla którego ekosystemy npm i PyPI mają problemy z zatruciem w porównaniu, powiedzmy, z ekosystemem pakietów Go.
„Pomimo faktu, że wykryte złośliwe pakiety zostały od tego czasu usunięte z NuGet, programiści .NET nadal są narażeni na wysokie ryzyko złośliwego kodu, ponieważ pakiety NuGet nadal zawierają narzędzia do uruchamiania kodu natychmiast po instalacji pakietu”, stwierdzili badacze JFrog w poście na blogu . „[A]chociaż jest to przestarzałe, skrypt [inicjalizacyjny] jest nadal honorowany przez Visual Studio i będzie działał bez ostrzeżenia podczas instalowania pakietu NuGet”.
JFrog poradził programistom, aby sprawdzili literówki w importowanych i zainstalowanych pakietach i powiedział, że programiści powinni upewnić się, że „przypadkowo nie zainstalują ich w swoim projekcie ani nie wymienią ich jako zależności”, stwierdziła firma.
Ponadto programiści powinni przeglądać zawartość pakietów, aby upewnić się, że nie ma żadnych plików wykonywalnych, które są pobierane i automatycznie uruchamiane. Chociaż takie pliki są powszechne w niektórych ekosystemach oprogramowania, zwykle wskazują na złośliwe zamiary.
Dzięki różnorodnym środkom zaradczym repozytorium NuGet — podobnie jak npm i PyPI — powoli, ale skutecznie eliminuje słabe punkty bezpieczeństwa, mówi Menashe z JFrog.
„Nie spodziewam się, że NuGet stanie się większym celem w przyszłości, zwłaszcza jeśli opiekunowie NuGet całkowicie usuną obsługę uruchamiania kodu podczas instalacji pakietu — co już częściowo zrobili” — mówi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :Jest
- 000
- 7
- a
- Zdolny
- Stosownie
- działalność
- faktycznie
- dodatek
- już
- Chociaż
- wśród
- analiza
- i
- aplikacje
- SĄ
- POWIERZCHNIA
- AS
- Asp.net
- At
- atakować
- Ataki
- Próby
- zautomatyzowane
- automatycznie
- tylne drzwi
- BE
- stają się
- zanim
- jest
- Ulepsz Swój
- Blog
- Brian
- by
- Kampania
- łańcuch
- ZOBACZ
- kod
- coinbase
- wspólny
- sukcesy firma
- w porównaniu
- składniki
- kompromis
- zawierać
- treść
- ciągły
- Zależność
- Mimo
- wykryte
- deweloperzy
- oprogramowania
- narzędzia programistyczne
- Devs
- Dyrektor
- odkryty
- odkrycie
- pobieranie
- tuzin
- Ekosystem
- Ekosystemy
- wyłączony
- eliminując
- zapewnić
- Błędy
- szczególnie
- Parzyste
- Każdy
- dowód
- egzekucja
- oczekiwać
- filet
- Akta
- filtracja
- Znajdź
- Firma
- i terminów, a
- pierwszy raz
- W razie zamówieenia projektu
- od
- w pełni
- Funkcjonalność
- dalej
- przyszłość
- otrzymać
- Dać
- Go
- dobry
- Have
- Wysoki
- pasemka
- zaszczycony
- ma nadzieję,
- hostowane
- HTTPS
- i
- natychmiast
- in
- Włącznie z
- coraz bardziej
- wskaźnik
- wskazanie
- zainstalować
- zainstalowany
- Instalacja
- zamiar
- problemy
- IT
- JAVASCRIPT
- jpg
- znany
- Języki
- pomniejszy
- wifecycwe
- Ograniczony
- linki
- Popatrz
- robić
- malware
- kierownik
- March
- środków
- metody
- Microsoft
- jeszcze
- Nazwa
- Nazwy
- prawie
- netto
- Nowości
- węzeł
- zauważyć
- nowicjusz
- of
- on
- ONE
- Online
- koncepcja
- open source
- Inne
- pakiet
- Pakiety
- może
- phishing
- plato
- Analiza danych Platona
- PlatoDane
- możliwy
- Post
- Wcześniejszy
- Problem
- Programowanie
- języki programowania
- projekt
- projektowanie
- opublikowany
- popychany
- Python
- powód
- niedawny
- zmniejszyć
- szczątki
- usunąć
- Usunięto
- składnica
- Badania naukowe
- Badacze
- Ryzyko
- run
- bieganie
- s
- Bezpieczeństwo
- Powiedział
- taki sam
- mówią
- bezpieczne
- bezpieczeństwo
- powinien
- znaczący
- podobny
- ponieważ
- Powoli
- So
- Tworzenie
- Software Developers
- rozwoju oprogramowania
- kilka
- Źródło
- stwierdził,
- Ewolucja krok po kroku
- Nadal
- studio
- styl
- taki
- Dostawa
- łańcuch dostaw
- wsparcie
- na pewno
- Powierzchnia
- podejrzliwy
- system
- systemy
- cel
- ukierunkowane
- kierowania
- Techniki
- że
- Połączenia
- Przyszłość
- ich
- Im
- Przez
- czas
- czasy
- do
- narzędzia
- trojański
- wyjątkowy
- Użytkownik
- zazwyczaj
- różnorodność
- Zobacz i wysłuchaj
- ostrzeżenie
- Droga..
- osłabienie
- DOBRZE
- który
- Podczas
- będzie
- w
- bez
- Wygrał
- zefirnet
