Дюжина пекарських пакетів, розміщених у сховищі NuGet для розробників програмного забезпечення .NET, насправді є шкідливими троянськими компонентами, які скомпрометують систему інсталяції та завантажать зловмисне програмне забезпечення для крадіжки криптографії з функціями бекдору.
Фірма безпеки ланцюга поставок програмного забезпечення JFrog заявила в аналізі, опублікованому 21 березня, що 13 пакетів, які з тих пір були видалені, були завантажені більше 166,000 1 разів і імітують інше законне програмне забезпечення, таке як Coinbase і Microsoft ASP.NET. JFrog виявив атаку, коли дослідники компанії помітили підозрілу активність під час виконання файлу — init.psXNUMX — під час встановлення, а потім завантажили виконуваний файл і запустили його.
Виявлення зловмисного коду підкреслює, що зловмисники все більше розгалужуються в ланцюжку постачання програмного забезпечення, щоб скомпрометувати необережних розробників, хоча .NET і мови програмування C# менш відомі зловмисникам, каже Шачар Менаше, директор з досліджень безпеки для JFrog.
«Методики виконання зловмисного коду під час встановлення пакета NuGet, хоча й тривіальні, менш задокументовані, ніж у Python або JavaScript, і деякі з них уже застаріли, тому деякі зловмисники-початківці можуть подумати, що це неможливо», — каже він. «І, можливо, NuGet має кращу автоматизовану фільтрацію шкідливих пакетів».
Ланцюжок постачання програмного забезпечення стає дедалі мішенню зловмисників, які намагаються скомпрометувати системи розробників або поширити непомічений код кінцевому користувачеві через програми розробників. Екосистеми Python Package Index (PyPI) і Node Package Manager (npm), орієнтовані на JavaScript частий цілі атак на ланцюги поставок орієнтація на проекти з відкритим кодом.
Атака на програмну екосистему .NET, яка складається з майже 350,000 XNUMX унікальних пакетів, згідно з JFrog, це перший випадок, коли шкідливі пакети націлені на NuGet, хоча компанія зазначила, що спам-кампанія мала раніше надсилав фішингові посилання розробникам.
Друкарський сквотінг все ще є проблемою
Атака підкреслює, що typosquatting продовжує залишатися проблемою. Цей стиль атаки передбачає створення пакунків із назвами, схожими за звучанням — або однаковими назвами з типовими помилками — як законні, в надії, що користувач неправильно введе звичайний пакет або не помітить помилки.
Дослідники JFrog стверджують, що розробникам слід добре оглянути нові пакунки, перш ніж включити їх у проект програмування Натан Негорай і Браян Мусаллі написали в онлайн-консультації.
«Хоча жодних попередніх атак зловмисного коду в сховищі NuGet не спостерігалося, ми змогли знайти докази принаймні однієї недавньої кампанії з використанням таких методів, як typosquatting для поширення шкідливого коду», — написали вони. «Як і в інших репозиторіях, заходи безпеки повинні вживатися на кожному етапі життєвого циклу розробки програмного забезпечення, щоб забезпечити безпеку ланцюга постачання програмного забезпечення».
Негайне виконання коду є проблематичним
Дослідники заявили, що файли, які автоматично запускаються інструментами розробки, є слабким місцем безпеки, і їх слід усунути або обмежити, щоб зменшити площу поверхні атаки. Ця функціональність є важливою причиною, чому екосистеми npm і PyPI мають проблеми з отруєнням, порівняно, скажімо, з екосистемою пакетів Go.
«Незважаючи на те, що виявлені шкідливі пакунки з тих пір було видалено з NuGet, розробники .NET все ще піддаються високому ризику зловмисного коду, оскільки пакунки NuGet все ще містять засоби для запуску коду відразу після встановлення пакета», — заявили дослідники JFrog у дописі в блозі. . «[П]оскільки він застарів, сценарій [ініціалізації] все ще підтримується Visual Studio та запускатиметься без будь-яких попереджень під час встановлення пакета NuGet».
JFrog порадив розробникам перевірити імпортовані та встановлені пакети на наявність помилок і сказав, що розробники повинні переконатися, що «випадково не встановлюють їх у своєму проекті або не згадують їх як залежність», заявила компанія.
Крім того, розробники повинні переглядати вміст пакетів, щоб переконатися, що немає виконуваних файлів, які завантажуються та автоматично виконуються. Хоча такі файли поширені в деяких екосистемах програмного забезпечення, зазвичай вони є ознакою зловмисного наміру.
Завдяки різноманітним контрзаходам репозиторій NuGet, а також npm і PyPI повільно, але впевнено усувають недоліки безпеки, каже Менаше з JFrog.
«Я не очікую, що NuGet стане більшою ціллю в майбутньому, особливо якщо супроводжувачі NuGet повністю приберуть підтримку запуску коду під час інсталяції пакета — що вони вже частково зробили», — каже він.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages
- :є
- 000
- 7
- a
- Здатний
- За
- діяльність
- насправді
- доповнення
- вже
- хоча
- серед
- аналіз
- та
- застосування
- ЕСТЬ
- ПЛОЩА
- AS
- Asp.net
- At
- атака
- нападки
- Спроби
- Автоматизований
- автоматично
- закулісний
- BE
- ставати
- перед тим
- буття
- Краще
- Блог
- Брайан
- by
- Кампанія
- ланцюг
- перевірка
- код
- coinbase
- загальний
- компанія
- порівняний
- Компоненти
- компроміс
- містити
- зміст
- триває
- Залежність
- Незважаючи на
- виявлено
- розробників
- розробка
- інструменти розробки
- деви
- Директор
- відкритий
- відкриття
- скачати
- дюжина
- екосистема
- екосистеми
- усувається
- усуваючи
- забезпечувати
- помилки
- особливо
- Навіть
- Кожен
- докази
- виконання
- очікувати
- філе
- Файли
- фільтрація
- знайти
- Фірма
- Перший
- перший раз
- для
- від
- повністю
- функціональність
- далі
- майбутнє
- отримати
- Давати
- Go
- добре
- Мати
- Високий
- основний момент
- честь
- сподівається,
- відбувся
- HTTPS
- i
- негайно
- in
- У тому числі
- все більше і більше
- індекс
- індикація
- встановлювати
- встановлений
- установка
- намір
- питання
- IT
- JavaScript
- JPG
- відомий
- мови
- менше
- Життєвий цикл
- обмеженою
- зв'язку
- подивитися
- зробити
- шкідливих програм
- менеджер
- березня
- заходи
- методика
- Microsoft
- більше
- ім'я
- Імена
- майже
- мережу
- Нові
- вузол
- зазначив,
- novice
- of
- on
- ONE
- онлайн
- відкрити
- з відкритим вихідним кодом
- Інше
- пакет
- пакети
- може бути
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- це можливо
- пошта
- попередній
- Проблема
- Програмування
- мови програмування
- проект
- проектів
- опублікований
- штовхнув
- Python
- причина
- останній
- зменшити
- залишається
- видаляти
- Вилучено
- Сховище
- дослідження
- Дослідники
- Risk
- прогін
- біг
- s
- Безпека
- Зазначений
- то ж
- говорить
- безпечний
- безпеку
- Повинен
- значний
- аналогічний
- з
- Повільно
- So
- Софтвер
- Розробники ПЗ
- розробка програмного забезпечення
- деякі
- Source
- заявив,
- Крок
- Як і раніше
- студія
- стиль
- такі
- поставка
- ланцюжка поставок
- підтримка
- напевно
- поверхню
- підозрілі
- система
- Systems
- Мета
- цільове
- націлювання
- методи
- Що
- Команда
- Майбутнє
- їх
- Їх
- через
- час
- times
- до
- інструменти
- троянець
- створеного
- користувач
- зазвичай
- різноманітність
- вид
- попередження
- шлях..
- слабкість
- ДОБРЕ
- який
- в той час як
- волі
- з
- без
- Виграв
- зефірнет