แพ็คเกจจำนวนมากของคนทำขนมปังที่โฮสต์บนพื้นที่เก็บข้อมูล NuGet สำหรับนักพัฒนาซอฟต์แวร์ .NET แท้จริงแล้วเป็นส่วนประกอบของโทรจันที่เป็นอันตรายซึ่งจะทำลายระบบการติดตั้งและดาวน์โหลดมัลแวร์ขโมยการเข้ารหัสด้วยฟังก์ชันแบ็คดอร์
JFrog บริษัทซอฟต์แวร์ด้านความปลอดภัยในห่วงโซ่อุปทานระบุในบทวิเคราะห์ที่เผยแพร่เมื่อวันที่ 21 มีนาคมว่า แพคเกจ 13 รายการซึ่งถูกลบออกไปแล้ว ถูกดาวน์โหลดมากกว่า 166,000 ครั้ง และเลียนแบบซอฟต์แวร์อื่นที่ถูกต้องตามกฎหมาย เช่น Coinbase และ Microsoft ASP.NET JFrog ตรวจพบการโจมตีเมื่อนักวิจัยของบริษัทสังเกตเห็นกิจกรรมที่น่าสงสัยเมื่อไฟล์ - init.ps1 - ดำเนินการเมื่อติดตั้ง จากนั้นจึงดาวน์โหลดไฟล์ปฏิบัติการและเรียกใช้งาน
Shachar Menashe ผู้อำนวยการฝ่ายวิจัยความปลอดภัยกล่าวว่า การค้นพบรหัสที่เป็นอันตรายนั้นเน้นย้ำว่าผู้โจมตีกำลังแตกแขนงออกไปในห่วงโซ่อุปทานของซอฟต์แวร์มากขึ้น เพื่อเป็นแนวทางที่จะประนีประนอมกับนักพัฒนาที่ไม่ระมัดระวัง แม้ว่า .NET และภาษาโปรแกรม C# จะเป็นที่รู้จักน้อยกว่าในหมู่ผู้โจมตีก็ตาม Shachar Menashe ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยของ เจกบ.
“เทคนิคในการเรียกใช้โค้ดที่เป็นอันตรายในการติดตั้งแพ็คเกจ NuGet แม้จะเป็นเรื่องเล็กน้อย แต่ก็มีการจัดทำเป็นเอกสารน้อยกว่าใน Python หรือ JavaScript และบางส่วนก็เลิกใช้แล้ว ดังนั้นผู้โจมตีมือใหม่บางคนอาจคิดว่ามันเป็นไปไม่ได้” เขากล่าว “และบางที NuGet อาจมีตัวกรองอัตโนมัติสำหรับแพ็คเกจที่เป็นอันตราย”
ห่วงโซ่อุปทานของซอฟต์แวร์ตกเป็นเป้าหมายของผู้โจมตีมากขึ้นเรื่อยๆ โดยมีความพยายามที่จะประนีประนอมระบบของนักพัฒนาหรือเผยแพร่รหัสที่ไม่มีใครสังเกตเห็นไปยังผู้ใช้ปลายทางผ่านแอปพลิเคชันของนักพัฒนา Python Package Index (PyPI) และระบบนิเวศ Node Package Manager (npm) ที่เน้น JavaScript คือ บ่อย เป้าหมายของการโจมตีห่วงโซ่อุปทาน กำหนดเป้าหมายโครงการโอเพ่นซอร์ส
การโจมตีระบบนิเวศซอฟต์แวร์ .NET ซึ่งประกอบด้วย เกือบ 350,000 แพ็คเกจที่ไม่ซ้ำกันเป็นครั้งแรกที่แพ็คเกจที่เป็นอันตรายกำหนดเป้าหมายไปที่ NuGet ตามข้อมูลของ JFrog แม้ว่าบริษัทจะสังเกตว่าแคมเปญสแปมมี ก่อนหน้านี้ได้ส่งลิงก์ฟิชชิ่งไปยังนักพัฒนาซอฟต์แวร์.
Typosquatting ยังคงเป็นปัญหา
การโจมตีเน้นย้ำว่าการพิมพ์ดีดยังคงเป็นปัญหา รูปแบบการโจมตีนั้นเกี่ยวข้องกับการสร้างแพ็คเกจที่มีชื่อคล้ายกัน หรือชื่อเดียวกันที่มีข้อผิดพลาดในการสะกดคำทั่วไป โดยหวังว่าผู้ใช้จะพิมพ์แพ็คเกจทั่วไปผิดหรือไม่สังเกตเห็นข้อผิดพลาด
นักพัฒนาควรให้แพ็คเกจใหม่ดูดีก่อนที่จะรวมไว้ในโปรเจ็กต์การเขียนโปรแกรม นักวิจัยของ JFrog Natan Nehorai และ Brian Moussalli เขียนไว้ในคำแนะนำออนไลน์.
“แม้ว่าจะไม่พบการโจมตีด้วยรหัสที่เป็นอันตรายในที่เก็บ NuGet แต่เราก็สามารถหาหลักฐานสำหรับแคมเปญล่าสุดอย่างน้อยหนึ่งแคมเปญโดยใช้วิธีการต่างๆ เช่น การพิมพ์เพื่อเผยแพร่รหัสที่เป็นอันตราย” พวกเขาเขียน “เช่นเดียวกับที่เก็บข้อมูลอื่น ๆ ควรมีมาตรการด้านความปลอดภัยในทุกขั้นตอนของวงจรการพัฒนาซอฟต์แวร์เพื่อให้แน่ใจว่าห่วงโซ่อุปทานของซอฟต์แวร์ยังคงปลอดภัย”
การดำเนินการโค้ดทันทีเป็นปัญหา
ไฟล์ที่ดำเนินการโดยอัตโนมัติโดยเครื่องมือการพัฒนาเป็นจุดอ่อนด้านความปลอดภัยและควรกำจัดหรือจำกัดเพื่อลดพื้นที่ผิวการโจมตี นักวิจัยระบุ ฟังก์ชันการทำงานดังกล่าวเป็นสาเหตุสำคัญที่ทำให้ระบบนิเวศของ npm และ PyPI มีปัญหาเมื่อเปรียบเทียบกับระบบนิเวศของแพ็คเกจ Go
“แม้ว่าแพ็คเกจที่เป็นอันตรายที่ค้นพบได้ถูกลบออกจาก NuGet แล้ว แต่นักพัฒนา .NET ยังคงมีความเสี่ยงสูงจากโค้ดที่เป็นอันตราย เนื่องจากแพ็คเกจ NuGet ยังคงมีสิ่งอำนวยความสะดวกในการเรียกใช้โค้ดทันทีที่ติดตั้งแพ็คเกจ” นักวิจัยของ JFrog กล่าวในบล็อกโพสต์ . “[A] แม้ว่ามันจะเลิกใช้แล้ว แต่สคริปต์ [การเริ่มต้นใช้งาน] ยังคงได้รับเกียรติจาก Visual Studio และจะทำงานโดยไม่มีคำเตือนใด ๆ เมื่อติดตั้งแพ็คเกจ NuGet”
JFrog แนะนำให้นักพัฒนาตรวจสอบการพิมพ์ผิดในแพ็คเกจที่นำเข้าและติดตั้ง และกล่าวว่านักพัฒนาควรตรวจสอบให้แน่ใจว่าไม่ได้ “ติดตั้งโดยบังเอิญในโครงการของพวกเขาหรือระบุว่าเป็นการอ้างอิง” บริษัทระบุ
นอกจากนี้ นักพัฒนาควรดูเนื้อหาของแพ็คเกจเพื่อให้แน่ใจว่าไม่มีไฟล์ปฏิบัติการที่กำลังดาวน์โหลดและดำเนินการโดยอัตโนมัติ แม้ว่าไฟล์ดังกล่าวจะพบได้ทั่วไปในระบบนิเวศของซอฟต์แวร์บางระบบ แต่โดยทั่วไปแล้ว ไฟล์เหล่านี้มักบ่งบอกถึงเจตนาร้าย
ด้วยวิธีการตอบโต้ที่หลากหลาย พื้นที่เก็บข้อมูล NuGet เช่นเดียวกับ npm และ PyPI จะค่อยๆ กำจัดจุดอ่อนด้านความปลอดภัยอย่างช้าๆ แต่แน่นอน Menashe จาก JFrog กล่าว
“ผมไม่คาดหวังว่า NuGet จะกลายเป็นเป้าหมายมากขึ้นในอนาคต โดยเฉพาะอย่างยิ่งหากผู้ดูแล NuGet ต้องยกเลิกการสนับสนุนโค้ดรันในการติดตั้งแพ็คเกจทั้งหมด ซึ่งพวกเขาได้ทำไปแล้วบางส่วน” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :เป็น
- 000
- 7
- a
- สามารถ
- ตาม
- อยากทำกิจกรรม
- จริง
- นอกจากนี้
- แล้ว
- แม้ว่า
- ในหมู่
- การวิเคราะห์
- และ
- การใช้งาน
- เป็น
- AREA
- AS
- Asp.net
- At
- โจมตี
- การโจมตี
- ความพยายามในการ
- อัตโนมัติ
- อัตโนมัติ
- ประตูหลัง
- BE
- กลายเป็น
- ก่อน
- กำลัง
- ดีกว่า
- บล็อก
- ไบรอัน
- by
- รณรงค์
- โซ่
- ตรวจสอบ
- รหัส
- coinbase
- ร่วมกัน
- บริษัท
- เมื่อเทียบกับ
- ส่วนประกอบ
- การประนีประนอม
- บรรจุ
- เนื้อหา
- อย่างต่อเนื่อง
- การอยู่ที่
- แม้จะมี
- ตรวจพบ
- นักพัฒนา
- พัฒนาการ
- เครื่องมือในการพัฒนา
- devs
- ผู้อำนวยการ
- ค้นพบ
- การค้นพบ
- ดาวน์โหลด
- โหล
- ระบบนิเวศ
- ระบบนิเวศ
- ตัดออก
- การกำจัด
- ทำให้มั่นใจ
- ข้อผิดพลาด
- โดยเฉพาะอย่างยิ่ง
- แม้
- ทุกๆ
- หลักฐาน
- การปฏิบัติ
- คาดหวัง
- เนื้อไม่มีมัน
- ไฟล์
- กรอง
- หา
- บริษัท
- ชื่อจริง
- ครั้งแรก
- สำหรับ
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ฟังก์ชั่น
- ต่อไป
- อนาคต
- ได้รับ
- ให้
- Go
- ดี
- มี
- จุดสูง
- ไฮไลท์
- ที่เคารพ
- หวัง
- เป็นเจ้าภาพ
- HTTPS
- i
- ทันที
- in
- รวมทั้ง
- ขึ้น
- ดัชนี
- การแสดง
- ติดตั้ง
- การติดตั้ง
- การติดตั้ง
- ความตั้งใจ
- ปัญหา
- IT
- JavaScript
- jpg
- ที่รู้จักกัน
- ภาษา
- น้อยกว่า
- วงจรชีวิต
- ถูก จำกัด
- การเชื่อมโยง
- ดู
- ทำ
- มัลแวร์
- ผู้จัดการ
- มีนาคม
- มาตรการ
- วิธีการ
- ไมโครซอฟท์
- ข้อมูลเพิ่มเติม
- ชื่อ
- ชื่อ
- เกือบทั้งหมด
- สุทธิ
- ใหม่
- ปม
- เด่น
- สามเณร
- of
- on
- ONE
- ออนไลน์
- เปิด
- โอเพนซอร์ส
- อื่นๆ
- แพ็คเกจ
- แพคเกจ
- บางที
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- โพสต์
- ก่อน
- ปัญหา
- การเขียนโปรแกรม
- การเขียนโปรแกรมภาษา
- โครงการ
- โครงการ
- การตีพิมพ์
- ผลักดัน
- หลาม
- เหตุผล
- เมื่อเร็ว ๆ นี้
- ลด
- ซากศพ
- เอาออก
- ลบออก
- กรุ
- การวิจัย
- นักวิจัย
- ความเสี่ยง
- วิ่ง
- วิ่ง
- s
- ความปลอดภัย
- กล่าวว่า
- เดียวกัน
- พูดว่า
- ปลอดภัย
- ความปลอดภัย
- น่า
- สำคัญ
- คล้ายคลึงกัน
- ตั้งแต่
- ช้า
- So
- ซอฟต์แวร์
- นักพัฒนาซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- บาง
- แหล่ง
- ระบุ
- ขั้นตอน
- ยังคง
- สตูดิโอ
- สไตล์
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- สนับสนุน
- อย่างแน่นอน
- พื้นผิว
- พิรุธ
- ระบบ
- ระบบ
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เทคนิค
- ที่
- พื้นที่
- ก้าวสู่อนาคต
- ของพวกเขา
- พวกเขา
- ตลอด
- เวลา
- ครั้ง
- ไปยัง
- เครื่องมือ
- โทรจัน
- เป็นเอกลักษณ์
- ผู้ใช้งาน
- มักจะ
- ความหลากหลาย
- รายละเอียด
- คำเตือน
- ทาง..
- ความอ่อนแอ
- ดี
- ที่
- ในขณะที่
- จะ
- กับ
- ไม่มี
- วอน
- ลมทะเล