Pachetele NuGet malițioase folosesc MSBuild pentru a instala programe malware

O nouă campanie typosquatting NuGet încarcă pachete malițioase care utilizează integrarea MSBuild din Visual Studio pentru a executa cod și a instala programe malware.

NuGet este un manager de pachete open-source și un sistem de distribuție de software, care permite dezvoltatorilor să descarce și să includă biblioteci .NET ready-to-run pentru proiectele lor.

Atacatorii care vizează sistemele de distribuție software, precum npm și PyPI, au manifestat recent interes pentru NuGet, care se adresează predominant utilizatorilor de Windows și a devenit foarte popular în rândul dezvoltatorilor de software.

Cea mai recentă campanie NuGet a fost observată pe 15 octombrie 2023, utilizând diferite pachete de tip typosquatting pentru a instala programe malware.

Unele dintre pachetele prezentate în această campanie includ:

CData.NetSuite.Net.Framework;
CData.Salesforce.Net.Framework;
Chronos.Platforms;
DiscordsRpc;
Kraken.Exchange;
KucoinExchange.Net;
MinecraftPocket.Server;
Monero;
Pathoschild.Stardew.Mod.Build.Config;
SolanaWallet;
ZendeskApi.Client.V2.

Elementul de noutate în această campanie este că, în loc să folosească abordarea standard de a încorpora programe de descărcare în scripturile de instalare, aceste pachete utilizează integrarea MSBuild NuGet pentru executarea codului.

Atunci când NuGet instalează un pachet care conține un director \build, adaugă automat un element MSBuild Import la proiect, făcând referire la fișierele .targets și .props din acel director.

Codul malițios este ascuns în fișierul <packageID>.targets din directorul build ca o proprietate <Code> care implementează funcționalitatea scripturilor PowerShell utilizate în versiunile anterioare ale pachetelor.

Malicious code inside the ‘targets’ file (ReversingLabs)
Source: https://www.bleepingcomputer.com/

La execuție, codul preia un executabil de la o adresă externă și îl execută într-un nou proces.

Code execution and malware loading process (ReversingLabs)
Source : https://www.bleepingcomputer.com/

Această tehnică a fost introdusă pentru prima dată în 2019 pentru a ilustra modul în care procesul MSBuild poate fi exploatat pentru a rula cod atunci când sunt instalate pachete NuGet.

Sursă: https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-abuse-msbuild-to-install-malware/

Pachetele NuGet malițioase folosesc MSBuild pentru a instala programe malware

Festivitatea de premiere a participanților la exercițiul CyberMAN25

Exercițiul CyberMAN25

Locked Shields 2025 – exercițiu NATO de apărare cibernetică

Exercițiul NATO de apărare cibernetică Cyber Coalition 2024

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

Vulnerabilitate critică identificată în Juniper Networks PTX

Trend Micro avertizează asupra unor vulnerabilități în Apex One

PoC lansat pentru o vulnerabilitate din Windows

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

Vulnerabilitate critică identificată în Juniper Networks PTX

Trend Micro avertizează asupra unor vulnerabilități în Apex One

PoC lansat pentru o vulnerabilitate din Windows

Ai mai putea citi