Зловреден софтуер за кражба на крипто идва с 13 пакета NuGet

Изследователи в областта на киберсигурността са описали подробно вътрешните механизми на зловредния софтуер за кражба на криптовалута, който е бил разпространен чрез 13 зловредни пакета NuGet като част от атака по веригата за доставки, насочена към разработчиците на .NET.

Усложнената кампания за типове, която беше подробно описана от JFrog в края на миналия месец, се представяше за легитимни пакети, за да изпълни PowerShell код, предназначен за извличане на последваща бинарна програма от твърдо кодиран сървър.

Кулминацията на двуетапната атака е разгръщането на базирана на .NET постоянна задна врата, наречена Impala Stealer, която е в състояние да получи неоторизиран достъп до сметките на потребителите за криптовалута.

„Полезният товар използва много рядка техника за обфускация, наречена „.NET AoT компилация“, която е много по-скрита от използването на „готови“ обфускатори, като в същото време прави бинарния файл труден за обратно инженерство“, казва JFrog в изявление за The Hacker News.

.NET AoT компилацията е техника за оптимизация, която позволява на приложенията да се компилират предварително до нативен код. Нативните AOT приложения също така имат по-бързо време за стартиране и по-малък обем на паметта и могат да работят на машина без инсталирано .NET runtime.

Полезният товар на втория етап е снабден с механизъм за автоматично обновяване, който му позволява да извлича нови версии на изпълнимия файл от отдалечено място. Освен това той постига устойчивост чрез инжектиране на JavaScript код в приложенията Discord или Microsoft Visual Studio Code, като по този начин активира стартирането на двоичния файл на крадеца.

След това бинарната програма търси инсталацията на приложението за настолни компютри Exodus Wallet и вмъква JavaScript код в различни HTML файлове, за да събере и екфилтрира чувствителни данни към твърдо кодирана уеб примка на Discord.

От своя страна JavaScript фрагментът се извлича от уебсайт за онлайн пействане, откъдето вече е бил изтрит. При това има подозрения, че кодът може да е бил използван за кражба на потребителски данни и за достъп до друга интересуваща ни информация.

„Лошите  са използвали техники за typosquatting, за да разгърнат персонализиран зловреден полезен товар […], който е насочен към криптопортфейла Exodus и изтича идентификационните данни на жертвата към борсите за криптовалути, като използва инжектиране на код“, казва Шахар Менаше, старши директор в JFrog Security Research.

„Нашето разследване доказва, че нито едно хранилище за софтуер с отворен код не заслужава пълно доверие, затова трябва да се вземат мерки за безопасност на всеки етап от жизнения цикъл на разработката на софтуера, за да се гарантира, че веригата за доставка на софтуер остава сигурна.“

Констатациите идват, след като Phylum откри зловреден npm пакет на име mathjs-min, който беше качен в хранилището на 26 март 2023 г. и за който беше установено, че крие крадец на идентификационни данни, който грабва пароли за Discord от официалното приложение, както и от уеб браузъри като Google Chrome, Brave и Opera.

„Този пакет всъщност е модифицирана версия на широко използваната Javascript математическа библиотека mathjs и е инжектиран със зловреден код, след като е бил разклонен“, заяви фирмата за сигурност на веригата за доставки на софтуер. „След това модифицираната версия е била публикувана в NPM с намерението да бъде представена като минимизирана версия на истинската библиотека mathjs.“

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
21/05/2023

Руснаците могат да избегнат...

Канадската агенция за финансово разузнаване предупреждава,...
03/05/2023

ФБР конфискува 9 криптоборс...

ФБР и украинската полиция са конфискували...
24/04/2023

RBAC на Kubernetes и в маща...

Мащабна кампания за атаки  използва контрола...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!