Розробники .NET націлені на шкідливі пакети NuGet

Дюжина пекарських пакетів, розміщених у сховищі NuGet для розробників програмного забезпечення .NET, насправді є шкідливими троянськими компонентами, які скомпрометують систему інсталяції та завантажать зловмисне програмне забезпечення для крадіжки криптографії з функціями бекдору.

Фірма безпеки ланцюга поставок програмного забезпечення JFrog заявила в аналізі, опублікованому 21 березня, що 13 пакетів, які з тих пір були видалені, були завантажені більше 166,000 1 разів і імітують інше законне програмне забезпечення, таке як Coinbase і Microsoft ASP.NET. JFrog виявив атаку, коли дослідники компанії помітили підозрілу активність під час виконання файлу — init.psXNUMX — під час встановлення, а потім завантажили виконуваний файл і запустили його.

Виявлення зловмисного коду підкреслює, що зловмисники все більше розгалужуються в ланцюжку постачання програмного забезпечення, щоб скомпрометувати необережних розробників, хоча .NET і мови програмування C# менш відомі зловмисникам, каже Шачар Менаше, директор з досліджень безпеки для JFrog.

«Методики виконання зловмисного коду під час встановлення пакета NuGet, хоча й тривіальні, менш задокументовані, ніж у Python або JavaScript, і деякі з них уже застаріли, тому деякі зловмисники-початківці можуть подумати, що це неможливо», — каже він. «І, можливо, NuGet має кращу автоматизовану фільтрацію шкідливих пакетів».

Ланцюжок постачання програмного забезпечення стає дедалі мішенню зловмисників, які намагаються скомпрометувати системи розробників або поширити непомічений код кінцевому користувачеві через програми розробників. Екосистеми Python Package Index (PyPI) і Node Package Manager (npm), орієнтовані на JavaScript частий цілі атак на ланцюги поставок орієнтація на проекти з відкритим кодом.

Атака на програмну екосистему .NET, яка складається з майже 350,000 XNUMX унікальних пакетів, згідно з JFrog, це перший випадок, коли шкідливі пакети націлені на NuGet, хоча компанія зазначила, що спам-кампанія мала раніше надсилав фішингові посилання розробникам.

Друкарський сквотінг все ще є проблемою

Атака підкреслює, що typosquatting продовжує залишатися проблемою. Цей стиль атаки передбачає створення пакунків із назвами, схожими за звучанням — або однаковими назвами з типовими помилками — як законні, в надії, що користувач неправильно введе звичайний пакет або не помітить помилки.

Дослідники JFrog стверджують, що розробникам слід добре оглянути нові пакунки, перш ніж включити їх у проект програмування Натан Негорай і Браян Мусаллі написали в онлайн-консультації.

«Хоча жодних попередніх атак зловмисного коду в сховищі NuGet не спостерігалося, ми змогли знайти докази принаймні однієї недавньої кампанії з використанням таких методів, як typosquatting для поширення шкідливого коду», — написали вони. «Як і в інших репозиторіях, заходи безпеки повинні вживатися на кожному етапі життєвого циклу розробки програмного забезпечення, щоб забезпечити безпеку ланцюга постачання програмного забезпечення».

Негайне виконання коду є проблематичним

Дослідники заявили, що файли, які автоматично запускаються інструментами розробки, є слабким місцем безпеки, і їх слід усунути або обмежити, щоб зменшити площу поверхні атаки. Ця функціональність є важливою причиною, чому екосистеми npm і PyPI мають проблеми з отруєнням, порівняно, скажімо, з екосистемою пакетів Go.

«Незважаючи на те, що виявлені шкідливі пакунки з тих пір було видалено з NuGet, розробники .NET все ще піддаються високому ризику зловмисного коду, оскільки пакунки NuGet все ще містять засоби для запуску коду відразу після встановлення пакета», — заявили дослідники JFrog у дописі в блозі. . «[П]оскільки він застарів, сценарій [ініціалізації] все ще підтримується Visual Studio та запускатиметься без будь-яких попереджень під час встановлення пакета NuGet».

JFrog порадив розробникам перевірити імпортовані та встановлені пакети на наявність помилок і сказав, що розробники повинні переконатися, що «випадково не встановлюють їх у своєму проекті або не згадують їх як залежність», заявила компанія.

Крім того, розробники повинні переглядати вміст пакетів, щоб переконатися, що немає виконуваних файлів, які завантажуються та автоматично виконуються. Хоча такі файли поширені в деяких екосистемах програмного забезпечення, зазвичай вони є ознакою зловмисного наміру.

Завдяки різноманітним контрзаходам репозиторій NuGet, а також npm і PyPI повільно, але впевнено усувають недоліки безпеки, каже Менаше з JFrog. 

«Я не очікую, що NuGet стане більшою ціллю в майбутньому, особливо якщо супроводжувачі NuGet повністю приберуть підтримку запуску коду під час інсталяції пакета — що вони вже частково зробили», — каже він.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/application-security/net-devs-targeted-with-malicious-nuget-packages