Изследователи в областта на киберсигурността са описали подробно вътрешните механизми на зловредния софтуер за кражба на криптовалута, който е бил разпространен чрез 13 зловредни пакета NuGet като част от атака по веригата за доставки, насочена към разработчиците на .NET.

Усложнената кампания за типове, която беше подробно описана от JFrog в края на миналия месец, се представяше за легитимни пакети, за да изпълни PowerShell код, предназначен за извличане на последваща бинарна програма от твърдо кодиран сървър.

Кулминацията на двуетапната атака е разгръщането на базирана на .NET постоянна задна врата, наречена Impala Stealer, която е в състояние да получи неоторизиран достъп до сметките на потребителите за криптовалута.

„Полезният товар използва много рядка техника за обфускация, наречена „.NET AoT компилация“, която е много по-скрита от използването на „готови“ обфускатори, като в същото време прави бинарния файл труден за обратно инженерство“, казва JFrog в изявление за The Hacker News.

.NET AoT компилацията е техника за оптимизация, която позволява на приложенията да се компилират предварително до нативен код. Нативните AOT приложения също така имат по-бързо време за стартиране и по-малък обем на паметта и могат да работят на машина без инсталирано .NET runtime.

Полезният товар на втория етап е снабден с механизъм за автоматично обновяване, който му позволява да извлича нови версии на изпълнимия файл от отдалечено място. Освен това той постига устойчивост чрез инжектиране на JavaScript код в приложенията Discord или Microsoft Visual Studio Code, като по този начин активира стартирането на двоичния файл на крадеца.

След това бинарната програма търси инсталацията на приложението за настолни компютри Exodus Wallet и вмъква JavaScript код в различни HTML файлове, за да събере и екфилтрира чувствителни данни към твърдо кодирана уеб примка на Discord.

От своя страна JavaScript фрагментът се извлича от уебсайт за онлайн пействане, откъдето вече е бил изтрит. При това има подозрения, че кодът може да е бил използван за кражба на потребителски данни и за достъп до друга интересуваща ни информация.

„Лошите  са използвали техники за typosquatting, за да разгърнат персонализиран зловреден полезен товар […], който е насочен към криптопортфейла Exodus и изтича идентификационните данни на жертвата към борсите за криптовалути, като използва инжектиране на код“, казва Шахар Менаше, старши директор в JFrog Security Research.

„Нашето разследване доказва, че нито едно хранилище за софтуер с отворен код не заслужава пълно доверие, затова трябва да се вземат мерки за безопасност на всеки етап от жизнения цикъл на разработката на софтуера, за да се гарантира, че веригата за доставка на софтуер остава сигурна.“

Констатациите идват, след като Phylum откри зловреден npm пакет на име mathjs-min, който беше качен в хранилището на 26 март 2023 г. и за който беше установено, че крие крадец на идентификационни данни, който грабва пароли за Discord от официалното приложение, както и от уеб браузъри като Google Chrome, Brave и Opera.

„Този пакет всъщност е модифицирана версия на широко използваната Javascript математическа библиотека mathjs и е инжектиран със зловреден код, след като е бил разклонен“, заяви фирмата за сигурност на веригата за доставки на софтуер. „След това модифицираната версия е била публикувана в NPM с намерението да бъде представена като минимизирана версия на истинската библиотека mathjs.“