Tehdit Aktörleri Zararlı NuGet Paketleri ile .NET Geliştiricilerini Hedef Alıyor!

‍

Microsoft teknolojileri için kod paylaşımı ve paket yönetimi sağlayan açık kaynaklı bir araç NuGet sayesinde, geliştiriciler hazır paketleri kullanarak projelerine özgü ihtiyaçları karşılayabiliyor veya kendi özel paketlerini oluşturup paylaşabiliyorlar. NuGet, paketleri oluşturmak, barındırmak ve yönetmek için bir dizi araç sağlar ve paketler, bir DLL olarak paketlenmiş .NET kodlarından oluşur.

Şimdiye kadar platform, kimlik avı bağlantılarını yaymak için tasarlanmış paketler dışında çok fazla hedef alınmamıştı. Ancak bu son saldırılarda geliştiricileri zararlı paketleri indirmeleri için kandırmak amacıyla typosquatting saldırıları kullanılıyor.

Saldırının bir parçası olarak, tehdit aktörleri popüler paketleri taklit ederken, araştırmacılar aynı zararlı kodu içeren 13 NuGet paketi tespit etti. Bu zararlı paketlerden en popüler olanının Coinbase[.]Core olduğu görüldü. Coinbase.Core kod deposundan kaldırıldığı sırada 120.000'den fazla indirilme sayısına ulaşmıştı. En popüler ikinci paket olan Anarchy[.]Wrapper[.]Net 30.000'in üzerinde indirilirken, üçüncü paket olan DiscordRichPresence[.]API ise 14.000'in üzerinde indirildi.

Ancak bu, saldırganların paketlerin daha görünür olmasını sağlamak amacıyla indirme sayılarını botlarla şişirme ihtimalinden dolayı, indirme sayısı tek başına saldırının başarısını göstermeyebilir.

‍Saldırı Daha Geniş Çaplı Bir Kampanyanın Parçası

‍Zararlı paketler, kurulum sırasında çalıştırılan bir PowerShell komut dosyası içeriyor. Komut dosyası sistem yapılandırmasını değiştirerek PowerShell komut dosyalarının herhangi bir kısıtlama olmaksızın yürütülmesine izin veriyor. Saldırının devamında ise kripto para çalmak için tasarlanmış ve zararlı yazılımın sürekli güncel kalmasını sağlayan bir Windows yürütülebilir dosyası yüklüyor.

Bu saldırının, 2022 yılı boyunca aktif olan büyük ölçekli bir kampanyanın parçası olarak NPM, PyPi ve NuGet dahil olmak üzere çok sayıda açık kaynak paket deposuna 144.000'den fazla kimlik avı ile ilgili paket yükleyen siber suçluların daha büyük bir çabasının parçası olduğu tahmin edilmektedir. Bu saldırılar geliştiricilerin depolardan paket indirirken dikkatli olmalarını, paketi yayınlayan kullanıcıyı ve paket adını doğrulamaları gerektiğini hatırlatmaktadır.