Търсене
Close this search box.

Изследователи в областта на киберсигурността са описали подробно вътрешните механизми на зловредния софтуер за кражба на криптовалута, който е бил разпространен чрез 13 зловредни пакета NuGet като част от атака по веригата за доставки, насочена към разработчиците на .NET.

Усложнената кампания за типове, която беше подробно описана от JFrog в края на миналия месец, се представяше за легитимни пакети, за да изпълни PowerShell код, предназначен за извличане на последваща бинарна програма от твърдо кодиран сървър.

Кулминацията на двуетапната атака е разгръщането на базирана на .NET постоянна задна врата, наречена Impala Stealer, която е в състояние да получи неоторизиран достъп до сметките на потребителите за криптовалута.

„Полезният товар използва много рядка техника за обфускация, наречена „.NET AoT компилация“, която е много по-скрита от използването на „готови“ обфускатори, като в същото време прави бинарния файл труден за обратно инженерство“, казва JFrog в изявление за The Hacker News.

.NET AoT компилацията е техника за оптимизация, която позволява на приложенията да се компилират предварително до нативен код. Нативните AOT приложения също така имат по-бързо време за стартиране и по-малък обем на паметта и могат да работят на машина без инсталирано .NET runtime.

Полезният товар на втория етап е снабден с механизъм за автоматично обновяване, който му позволява да извлича нови версии на изпълнимия файл от отдалечено място. Освен това той постига устойчивост чрез инжектиране на JavaScript код в приложенията Discord или Microsoft Visual Studio Code, като по този начин активира стартирането на двоичния файл на крадеца.

След това бинарната програма търси инсталацията на приложението за настолни компютри Exodus Wallet и вмъква JavaScript код в различни HTML файлове, за да събере и екфилтрира чувствителни данни към твърдо кодирана уеб примка на Discord.

От своя страна JavaScript фрагментът се извлича от уебсайт за онлайн пействане, откъдето вече е бил изтрит. При това има подозрения, че кодът може да е бил използван за кражба на потребителски данни и за достъп до друга интересуваща ни информация.

„Лошите  са използвали техники за typosquatting, за да разгърнат персонализиран зловреден полезен товар […], който е насочен към криптопортфейла Exodus и изтича идентификационните данни на жертвата към борсите за криптовалути, като използва инжектиране на код“, казва Шахар Менаше, старши директор в JFrog Security Research.

„Нашето разследване доказва, че нито едно хранилище за софтуер с отворен код не заслужава пълно доверие, затова трябва да се вземат мерки за безопасност на всеки етап от жизнения цикъл на разработката на софтуера, за да се гарантира, че веригата за доставка на софтуер остава сигурна.“

Констатациите идват, след като Phylum откри зловреден npm пакет на име mathjs-min, който беше качен в хранилището на 26 март 2023 г. и за който беше установено, че крие крадец на идентификационни данни, който грабва пароли за Discord от официалното приложение, както и от уеб браузъри като Google Chrome, Brave и Opera.

„Този пакет всъщност е модифицирана версия на широко използваната Javascript математическа библиотека mathjs и е инжектиран със зловреден код, след като е бил разклонен“, заяви фирмата за сигурност на веригата за доставки на софтуер. „След това модифицираната версия е била публикувана в NPM с намерението да бъде представена като минимизирана версия на истинската библиотека mathjs.“

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
07/10/2024

Самопризнание за кражба на ...

21-годишен мъж от Индиана на име...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!