Изследователи в областта на киберсигурността са описали подробно вътрешните механизми на зловредния софтуер за кражба на криптовалута, който е бил разпространен чрез 13 зловредни пакета NuGet като част от атака по веригата за доставки, насочена към разработчиците на .NET.
Усложнената кампания за типове, която беше подробно описана от JFrog в края на миналия месец, се представяше за легитимни пакети, за да изпълни PowerShell код, предназначен за извличане на последваща бинарна програма от твърдо кодиран сървър.
Кулминацията на двуетапната атака е разгръщането на базирана на .NET постоянна задна врата, наречена Impala Stealer, която е в състояние да получи неоторизиран достъп до сметките на потребителите за криптовалута.
„Полезният товар използва много рядка техника за обфускация, наречена „.NET AoT компилация“, която е много по-скрита от използването на „готови“ обфускатори, като в същото време прави бинарния файл труден за обратно инженерство“, казва JFrog в изявление за The Hacker News.
.NET AoT компилацията е техника за оптимизация, която позволява на приложенията да се компилират предварително до нативен код. Нативните AOT приложения също така имат по-бързо време за стартиране и по-малък обем на паметта и могат да работят на машина без инсталирано .NET runtime.
Полезният товар на втория етап е снабден с механизъм за автоматично обновяване, който му позволява да извлича нови версии на изпълнимия файл от отдалечено място. Освен това той постига устойчивост чрез инжектиране на JavaScript код в приложенията Discord или Microsoft Visual Studio Code, като по този начин активира стартирането на двоичния файл на крадеца.
След това бинарната програма търси инсталацията на приложението за настолни компютри Exodus Wallet и вмъква JavaScript код в различни HTML файлове, за да събере и екфилтрира чувствителни данни към твърдо кодирана уеб примка на Discord.
От своя страна JavaScript фрагментът се извлича от уебсайт за онлайн пействане, откъдето вече е бил изтрит. При това има подозрения, че кодът може да е бил използван за кражба на потребителски данни и за достъп до друга интересуваща ни информация.
„Лошите са използвали техники за typosquatting, за да разгърнат персонализиран зловреден полезен товар […], който е насочен към криптопортфейла Exodus и изтича идентификационните данни на жертвата към борсите за криптовалути, като използва инжектиране на код“, казва Шахар Менаше, старши директор в JFrog Security Research.
„Нашето разследване доказва, че нито едно хранилище за софтуер с отворен код не заслужава пълно доверие, затова трябва да се вземат мерки за безопасност на всеки етап от жизнения цикъл на разработката на софтуера, за да се гарантира, че веригата за доставка на софтуер остава сигурна.“
Констатациите идват, след като Phylum откри зловреден npm пакет на име mathjs-min, който беше качен в хранилището на 26 март 2023 г. и за който беше установено, че крие крадец на идентификационни данни, който грабва пароли за Discord от официалното приложение, както и от уеб браузъри като Google Chrome, Brave и Opera.
„Този пакет всъщност е модифицирана версия на широко използваната Javascript математическа библиотека mathjs и е инжектиран със зловреден код, след като е бил разклонен“, заяви фирмата за сигурност на веригата за доставки на софтуер. „След това модифицираната версия е била публикувана в NPM с намерението да бъде представена като минимизирана версия на истинската библиотека mathjs.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.