Os especialistas da JFrog alertaram que os invasores têm como alvo os desenvolvedores .NET por meio de pacotes maliciosos do repositório NuGet e infectam seus sistemas com malware que rouba criptomoedas.
Deixe-me lembrá-lo que também dissemos que Pesquisadores descobriram quatro pacotes npm que coletavam dados do usuário, e também isso Log4j vulnerabilidade ameaça 35,000 Pacotes Java.
Também, especialistas em segurança da informação relataram que 10 Malicioso PyPI Pacotes roubam credenciais.
Os invasores disfarçam seus pacotes (três dos quais foram baixados em 150,000 vezes em um mês) como ferramentas populares da vida real usando typequatting.
Os pesquisadores observam que um grande número de downloads pode indicar um grande número de desenvolvedores cujos sistemas foram comprometidos, mas também é possível que os hackers tenham usado deliberadamente bots para aumentar artificialmente o “popularidade” de seus pacotes em NuGet.
Observa-se também que os invasores usaram typequatting ao criar seus perfis no NuGet, e tentei ser como Microsoft desenvolvedores. A lista de pacotes utilizados pelos hackers pode ser vista abaixo.
| Nome do pacote | Proprietário | Transferências | Publicados | pacote real |
| Núcleo Coinbase | BinanceOficial | 121 900 | 2023-02-22 | Base de moedas |
| Anarquia.Wrapper.Net | Equipe Oficial de Desenvolvimento | 30 400 | 2023-02-21 | Invólucro da Anarquia |
| DiscordRichPresence.API | Equipe Oficial de Desenvolvimento | 14 100 | 2023-02-21 | DiscordRichPresence |
| Avalon-Net-Core | joeIverhagen | 1200 | 2023-01-03 | Avalon |
| Gerenciar.Carasel.Net | Equipe Oficial de Desenvolvimento | 559 | 2023-02-21 | N / D |
| asip.net.core | BinanceOficial | 246 | 2023-02-22 | Microsoft.AspNetCore |
| Sys.Forms.26 | joeIverhagen | 205 | 2023-01-03 | Sistema.Windows.Forms |
| Azetap.API | DevNuget | 153 | 2023-02-27 | N / D |
| AvalonNetCore | Raul Mohammad | 67 | 2023-01-04 | Avalon |
| Json.Manager.Core | Melhores Desenvolvedores | 46 | 2023-03-12 | Nome .NET padrão |
| Gerenciado.Windows.Core | Mahamadrohu | 37 | 2023-01-05 | Nome .NET padrão |
| Nexzor.Graphical.Designer.Core | Impala | 36 | 2023-03-12 | N / D |
| Azeta.API | Soubata | 28 | 2023-02-24 | N / D |
Os pacotes maliciosos foram projetados para baixar e executar um PowerShell-script conta-gotas baseado (calor.ps1) que configurou a máquina infectada para executar o PowerShell sem restrições. Nesta próxima fase do ataque, o script baixou e executou a carga útil, um arquivo executável do Windows descrito pelos pesquisadores como um “executável de carga útil completamente personalizado”.
Especialistas dizem que esta é uma abordagem muito incomum em comparação com outros invasores que usam principalmente ferramentas de código aberto e malware padrão em vez de criar suas próprias cargas..
O malware eventualmente implantado em máquinas comprometidas pode ser usado para roubar criptomoedas (exfiltrando os dados da carteira de criptomoedas das vítimas por meio Discórdia webhooks), extrair e executar código malicioso de Elétron arquivos, e atualizando automaticamente a partir do servidor de comando e controle.
