.NET yazılım geliştiricileri için NuGet deposunda barındırılan bir fırıncı düzinelerce paket, aslında yükleme sistemini tehlikeye atacak ve arka kapı işleviyle kripto çalan kötü amaçlı yazılımları indirecek kötü amaçlı Truva atı bileşenleridir.
Yazılım tedarik zinciri güvenlik firması JFrog, 21 Mart'ta yayınlanan bir analizde, o zamandan beri kaldırılan 13 paketin 166,000'den fazla indirildiğini ve Coinbase ve Microsoft ASP.NET gibi diğer meşru yazılımların kimliğine büründüğünü belirtti. JFrog saldırıyı, şirketin araştırmacıları kurulum sırasında bir dosya - init.ps1 - yürütüldüğünde şüpheli etkinlik fark ettiğinde ve ardından yürütülebilir bir dosyayı indirip çalıştırdığında tespit etti.
.NET ve C# programlama dilleri saldırganlar arasında daha az bilinmesine rağmen, kötü niyetli kodun keşfi, saldırganların tedbirsiz geliştiricileri tehlikeye atmanın bir yolu olarak yazılım tedarik zincirine daha fazla dallandığını gösteriyor. JFrog.
"NuGet paket kurulumunda kötü amaçlı kod yürütme teknikleri önemsiz olsa da Python veya JavaScript'tekinden daha az belgelenmiştir ve bazıları kullanımdan kaldırılmıştır, bu nedenle bazı acemi saldırganlar bunun mümkün olmadığını düşünebilir" diyor. "Ve belki de NuGet, kötü amaçlı paketleri otomatik olarak daha iyi filtreliyor."
Yazılım tedarik zinciri, geliştiricilerin sistemlerini tehlikeye atma veya geliştiricilerin uygulamaları aracılığıyla son kullanıcıya fark edilmeyen kod yayma girişimleriyle saldırganlar tarafından giderek daha fazla hedef alınır hale geldi. Python Paket Dizini (PyPI) ve JavaScript odaklı Düğüm Paket Yöneticisi (npm) ekosistemleri, sık tedarik zinciri saldırılarının hedefleri açık kaynak projelerini hedefliyor.
Aşağıdakilerden oluşan .NET yazılım ekosistemine yönelik saldırı yaklaşık 350,000 benzersiz paket, JFrog'a göre kötü amaçlı paketlerin NuGet'i ilk kez hedef almasıdır, ancak şirket bir spam kampanyasının daha önce geliştiricilere gönderilen kimlik avı bağlantıları.
Yazım Hatası Hala Bir Sorun
Saldırı, yazım hatalarının bir sorun olmaya devam ettiğinin altını çiziyor. Bu tür bir saldırı, bir kullanıcının ortak bir paketi yanlış yazacağı veya hataları fark etmeyeceği umuduyla, benzer görünen adlara (veya yaygın yazım hataları olan aynı ada) sahip paketler oluşturmayı içerir.
JFrog araştırmacıları, geliştiricilerin bir programlama projesine dahil etmeden önce yeni paketlere iyi bakmaları gerektiğini söylüyor. Natan Nehorai ve Brian Moussalli çevrimiçi danışmanlıkta yazdı.
"NuGet deposunda daha önce hiçbir kötü amaçlı kod saldırısı gözlemlenmemiş olsa da, kötü amaçlı kodu yaymak için yazım hatası gibi yöntemler kullanan en az bir yeni kampanyaya ilişkin kanıt bulabildik" diye yazdılar. "Diğer havuzlarda olduğu gibi, yazılım tedarik zincirinin güvenli kalmasını sağlamak için yazılım geliştirme yaşam döngüsünün her adımında güvenlik önlemleri alınmalıdır."
Anında Kod Yürütme Sorunlu
Araştırmacılar, geliştirme araçları tarafından otomatik olarak yürütülen dosyaların bir güvenlik zayıflığı olduğunu ve saldırı yüzey alanını azaltmak için ortadan kaldırılması veya sınırlandırılması gerektiğini belirtti. Bu işlevsellik, örneğin Go paketi ekosistemiyle karşılaştırıldığında npm ve PyPI ekosistemlerinin zehirlenme sorunları yaşamasının önemli bir nedenidir.
JFrog araştırmacıları, blog gönderisinde "Keşfedilen kötü amaçlı paketlerin NuGet'ten kaldırılmış olmasına rağmen, NuGet paketleri hala paket kurulumunun hemen ardından kod çalıştırma olanakları içerdiğinden, .NET geliştiricileri kötü amaçlı kodlara karşı yüksek risk altındadır." . "[A]kullanımdan kaldırılmış olmasına rağmen, [bir başlatma] betiği Visual Studio tarafından hala onurlandırılmaktadır ve bir NuGet paketi yüklenirken herhangi bir uyarı olmadan çalışacaktır."
JFrog, geliştiricilere içe aktarılan ve kurulan paketlerdeki yazım hatalarını kontrol etmelerini tavsiye etti ve geliştiricilerin bunları "yanlışlıkla projelerine yüklememelerini veya bir bağımlılık olarak bahsetmemelerini" sağlamaları gerektiğini söyledi.
Ek olarak, geliştiriciler, indirilmekte olan ve otomatik olarak yürütülen yürütülebilir dosya olmadığından emin olmak için paketlerin içeriğini görüntülemelidir. Bu tür dosyalar bazı yazılım ekosistemlerinde yaygın olmakla birlikte, genellikle kötü niyetli niyetin bir göstergesidir.
JFrog'dan Menashe, çeşitli karşı önlemler yoluyla, NuGet deposunun yanı sıra npm ve PyPI'nin yavaş ama emin adımlarla güvenlik zayıflıklarını ortadan kaldırdığını söylüyor.
"NuGet'in gelecekte daha fazla bir hedef haline gelmesini beklemiyorum, özellikle de NuGet bakımcıları paket kurulumunda kod çalıştırma desteğini tamamen kaldırırlarsa - ki bunu zaten kısmen yaptılar" diyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :dır-dir
- 000
- 7
- a
- Yapabilmek
- Göre
- etkinlik
- aslında
- ilave
- zaten
- Rağmen
- arasında
- analiz
- ve
- uygulamaları
- ARE
- ALAN
- AS
- asp.net
- At
- saldırı
- saldırılar
- Denemeler
- Otomatik
- otomatik olarak
- arka kapı
- BE
- müşterimiz
- önce
- olmak
- Daha iyi
- Blog
- Brian
- by
- Kampanya
- zincir
- Kontrol
- kod
- coinbase
- ortak
- şirket
- karşılaştırıldığında
- bileşenler
- uzlaşma
- içermek
- içindekiler
- devam ediyor
- Bağımlılık
- Rağmen
- algılandı
- geliştiriciler
- gelişme
- Geliştirme araçları
- Devs
- yönetmen
- keşfetti
- keşif
- indir
- düzine
- ekosistem
- ekosistemler
- elimine
- ortadan
- sağlamak
- Hatalar
- özellikle
- Hatta
- Her
- kanıt
- infaz
- beklemek
- fileto
- dosyalar
- süzme
- bulmak
- Firma
- Ad
- ilk kez
- İçin
- itibaren
- tamamen
- işlevsellik
- daha fazla
- gelecek
- almak
- Vermek
- Go
- Tercih Etmenizin
- Var
- Yüksek
- özeti
- şerefli
- umut
- ev sahipliği yaptı
- HTTPS
- i
- hemen
- in
- Dahil olmak üzere
- giderek
- indeks
- belirti
- kurmak
- yüklü
- yükleme
- niyet
- sorunlar
- IT
- JavaScript
- jpg
- bilinen
- Diller
- daha az
- yaşam döngüsü
- Sınırlı
- bağlantılar
- Bakın
- yapmak
- kötü amaçlı yazılım
- müdür
- Mart
- önlemler
- yöntemleri
- Microsoft
- Daha
- isim
- isimleri
- neredeyse
- net
- yeni
- düğüm
- ünlü
- acemi
- of
- on
- ONE
- Online
- açık
- açık kaynak
- Diğer
- paket
- paketler
- belki
- Kimlik avı
- Platon
- Plato Veri Zekası
- PlatoVeri
- mümkün
- Çivi
- Önceki
- Sorun
- Programlama
- Programlama dilleri
- proje
- Projeler
- yayınlanan
- itti
- Python
- neden
- son
- azaltmak
- kalıntılar
- Kaldır
- çıkarıldı
- Depo
- araştırma
- Araştırmacılar
- Risk
- koşmak
- koşu
- s
- Güvenlik
- Adı geçen
- aynı
- diyor
- güvenli
- güvenlik
- meli
- önemli
- benzer
- beri
- Yavaş yavaş
- So
- Yazılım
- Yazılım geliştiricileri
- yazılım geliştirme
- biraz
- Kaynak
- belirtilen
- adım
- Yine
- stüdyo
- stil
- böyle
- arz
- tedarik zinciri
- destek
- elbette
- yüzey
- şüpheli
- sistem
- Sistemler
- Hedef
- Hedeflenen
- hedefleme
- teknikleri
- o
- The
- Gelecek
- ve bazı Asya
- Onları
- İçinden
- zaman
- zamanlar
- için
- araçlar
- Truva
- benzersiz
- kullanıcı
- genellikle
- çeşitlilik
- Görüntüle
- uyarı
- Yol..
- zayıflık
- İYİ
- hangi
- süre
- irade
- ile
- olmadan
- won
- zefirnet
