Les développeurs .NET sont ciblés par des logiciels malveillants conçus pour voler leur crypto-monnaie, selon de nouveaux rapports.
Les chercheurs en cybersécurité de JFrog ont récemment repéré une campagne active dans laquelle des packages malveillants ont été téléchargés sur le référentiel NuGet, pour que les développeurs .NET puissent les télécharger et les utiliser.
Lorsqu’ils sont activés, les packages téléchargent et exécutent un dropper PowerShell appelé init.ps1, qui modifie les paramètres du point de terminaison pour permettre aux scripts PowerShell d’être exécutés sans restrictions.
Charges utiles personnalisées
Cette fonctionnalité était à elle seule un signal d’alarme suffisant pour justifier l’élimination du package, suggèrent les chercheurs : « Ce comportement est extrêmement rare en dehors des packages malveillants, en particulier compte tenu de la politique d’exécution « Illimitée », qui devrait immédiatement déclencher un signal d’alarme ».
Pourtant, s’il est autorisé à fonctionner sans relâche, le package téléchargera et exécutera une « charge utile exécutable entièrement personnalisée » pour l’environnement Windows, ont ajouté les chercheurs. C’est aussi un comportement rare, ont déclaré les analystes, car les pirates n’utiliseraient généralement que des outils open source pour gagner du temps.
Pour renforcer leur légitimité, les pirates ont fait deux choses. Tout d’abord, ils ont typosquatté leurs profils de référentiel NuGet, pour se faire passer pour (s’ouvre dans un nouvel onglet) Développeurs de logiciels Microsoft travaillant sur le gestionnaire de packages NuGet .NET.
Deuxièmement, ils ont gonflé le nombre de téléchargements des packages malveillants à des niveaux obscènes, pour donner l’impression que les packages étaient légitimes et téléchargés des centaines de milliers de fois. Bien que cela puisse toujours être le cas, ont déclaré les chercheurs, il est plus probable qu’ils aient utilisé des bots pour gonfler artificiellement les chiffres afin de surprendre les développeurs.
« Les trois premiers packages ont été téléchargés un nombre incroyable de fois – cela pourrait être un indicateur que l’attaque a été très réussie, infectant un grand nombre de machines », ont déclaré les chercheurs en sécurité de JFrog. « Cependant, ce n’est pas un indicateur entièrement fiable du succès de l’attaque puisque les attaquants auraient pu automatiquement gonfler le nombre de téléchargements (avec des bots) pour rendre les packages plus légitimes. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)