Les développeurs .NET sont attaqués par des logiciels malveillants conçus pour voler leur crypto-monnaie, selon de nouveaux rapports.
Les chercheurs en cybersécurité de JFrog ont récemment détecté une campagne active dans laquelle des packages malveillants étaient téléchargés vers le référentiel NuGet pour que les développeurs .NET puissent les télécharger et les utiliser.
Lorsqu'ils sont activés, les packages téléchargent et exécutent un dropper PowerShell appelé init.ps1, qui modifie la configuration du point de terminaison pour permettre aux scripts PowerShell de s'exécuter sans restrictions.
Charges utiles personnalisées
Cette fonctionnalité à elle seule constituait un signal d'alarme suffisant pour justifier la suppression du paquet, suggèrent les chercheurs : "Ce comportement est extrêmement rare en dehors des packages malveillants, en particulier compte tenu de la politique d'exécution 'Illimitée', qui devrait immédiatement déclencher une alarme." .
Néanmoins, s'il est autorisé à s'exécuter sans interruption, le package téléchargera et exécutera une « charge utile exécutable entièrement personnalisée » pour l'environnement Windows, ont ajouté les chercheurs. Il s'agit également d'un comportement étrange, selon les analystes, car les pirates informatiques n'utilisent généralement que des outils open source pour gagner du temps.
Pour renforcer leur légitimité, les pirates ont fait deux choses. Tout d’abord, ils ont écrit leurs profils de référentiel NuGet pour se faire passer pour (s’ouvre dans un nouvel onglet) des développeurs de logiciels Microsoft travaillant sur le gestionnaire de packages NuGet .NET.
Deuxièmement, ils ont gonflé le nombre de téléchargements de packages malveillants à des niveaux obscènes, de sorte que les packages semblaient légitimes et étaient téléchargés des centaines de milliers de fois. Même si cela peut encore être le cas, selon les chercheurs, il est plus probable qu'ils aient utilisé des robots pour gonfler artificiellement les chiffres afin de surprendre les développeurs.
"Les trois premiers packages ont été téléchargés un nombre incroyable de fois ; cela pourrait être un indicateur que l'attaque a été très réussie et a infecté un grand nombre de machines", ont déclaré les chercheurs en sécurité de JFrog. "Cependant, il ne s'agit pas d'un indicateur totalement fiable du succès d'une attaque, car les attaquants auraient pu automatiquement gonfler le nombre de téléchargements (avec des robots) pour rendre les packages plus légitimes."
Via : BleepingComputer (Ouvre dans un nouvel onglet)