Зловреден софтуер за кражба на крипто идва с 13 пакета NuGet

Изследователи в областта на киберсигурността са описали подробно вътрешните механизми на зловредния софтуер за кражба на криптовалута, който е бил разпространен чрез 13 зловредни пакета NuGet като част от атака по веригата за доставки, насочена към разработчиците на .NET.

Усложнената кампания за типове, която беше подробно описана от JFrog в края на миналия месец, се представяше за легитимни пакети, за да изпълни PowerShell код, предназначен за извличане на последваща бинарна програма от твърдо кодиран сървър.

Кулминацията на двуетапната атака е разгръщането на базирана на .NET постоянна задна врата, наречена Impala Stealer, която е в състояние да получи неоторизиран достъп до сметките на потребителите за криптовалута.

„Полезният товар използва много рядка техника за обфускация, наречена „.NET AoT компилация“, която е много по-скрита от използването на „готови“ обфускатори, като в същото време прави бинарния файл труден за обратно инженерство“, казва JFrog в изявление за The Hacker News.

.NET AoT компилацията е техника за оптимизация, която позволява на приложенията да се компилират предварително до нативен код. Нативните AOT приложения също така имат по-бързо време за стартиране и по-малък обем на паметта и могат да работят на машина без инсталирано .NET runtime.

Полезният товар на втория етап е снабден с механизъм за автоматично обновяване, който му позволява да извлича нови версии на изпълнимия файл от отдалечено място. Освен това той постига устойчивост чрез инжектиране на JavaScript код в приложенията Discord или Microsoft Visual Studio Code, като по този начин активира стартирането на двоичния файл на крадеца.

След това бинарната програма търси инсталацията на приложението за настолни компютри Exodus Wallet и вмъква JavaScript код в различни HTML файлове, за да събере и екфилтрира чувствителни данни към твърдо кодирана уеб примка на Discord.

От своя страна JavaScript фрагментът се извлича от уебсайт за онлайн пействане, откъдето вече е бил изтрит. При това има подозрения, че кодът може да е бил използван за кражба на потребителски данни и за достъп до друга интересуваща ни информация.

„Лошите  са използвали техники за typosquatting, за да разгърнат персонализиран зловреден полезен товар […], който е насочен към криптопортфейла Exodus и изтича идентификационните данни на жертвата към борсите за криптовалути, като използва инжектиране на код“, казва Шахар Менаше, старши директор в JFrog Security Research.

„Нашето разследване доказва, че нито едно хранилище за софтуер с отворен код не заслужава пълно доверие, затова трябва да се вземат мерки за безопасност на всеки етап от жизнения цикъл на разработката на софтуера, за да се гарантира, че веригата за доставка на софтуер остава сигурна.“

Констатациите идват, след като Phylum откри зловреден npm пакет на име mathjs-min, който беше качен в хранилището на 26 март 2023 г. и за който беше установено, че крие крадец на идентификационни данни, който грабва пароли за Discord от официалното приложение, както и от уеб браузъри като Google Chrome, Brave и Opera.

„Този пакет всъщност е модифицирана версия на широко използваната Javascript математическа библиотека mathjs и е инжектиран със зловреден код, след като е бил разклонен“, заяви фирмата за сигурност на веригата за доставки на софтуер. „След това модифицираната версия е била публикувана в NPM с намерението да бъде представена като минимизирана версия на истинската библиотека mathjs.“

Източник: The Hacker News

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
Бъдете социални
Още по темата
07/10/2023

Lazarus изпира 900 милиона ...

С помощта на престъпни вериги са...
25/09/2023

Акаунтът на Буретин в X беш...

Хакери компрометират акаунта на Виталик Буретин...
19/09/2023

AMBERSQUID е насочена към н...

Нова операция за криптокражба в облака...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!