NuGet là một công cụ quản lý gói phần mềm dành cho .NET Framework, cho phép các nhà phát triển dễ dàng tìm và cài đặt các thư viện và phần mềm bổ sung cho các ứng dụng của họ.
Ba gói dữ liệu hàng đầu trên NuGet được tải xuống hơn 150.000 lượt trong 1 tháng cho thấy, cuộc tấn công này đang diễn ra mạnh mẽ và nó thành công trong việc xâm nhập vào lượng lớn thiết bị. Đây cũng có thể là số liệu được kẻ tấn công sử dụng bot tạo ra nhằm tăng tính tin cậy của các gói dữ liệu.
Những cuộc tấn công cũng sử dụng kỹ thuật typosquatting khi tạo các hồ sơ kho lưu trữ NuGet của chúng để mạo danh thành các nhà phát triển phần mềm Microsoft làm việc trên trình quản lý gói .NET NuGet.
Số lượng tải xuống của các gói trên NuGet cung cấp bởi tài khoản mạo danh
Các tài liệu bảo mật của Microsoft cho thấy rằng một số gói NuGet bị nhiễm mã độc và được phát tán thông qua các kênh khác nhau như GitHub và trang web của riêng chúng.
Các gói NuGet này đã bị tấn công bằng cách thay thế mã nguồn được tải lên với mã độc, khiến cho các phần mềm và ứng dụng được xây dựng từ mã nguồn này cũng bị lây nhiễm.
Các gói dữ liệu độc hại được thiết kế để tải xuống và thực thi một script dropper (là một loại phần mềm độc hại được phát triển để có thể virus tự động cài đặt bằng các lệnh trong tệp) dựa trên PowerShell (init.ps1) khiến thiết bị nạn nhân cho phép thực thi PowerShell mà không có bất kỳ hạn chế nào.
PowerShell dropper script
Phần mềm độc hại này dễ dàng qua mặt Defender (phần mềm phòng ngừa virus tích hợp sẵn trong hệ điều hành Microsoft Windows) để xâm nhập vào hệ thống, chúng có thể được sử dụng để lấy cắp tiền điện tử bằng cách lấy trộm ví tiền điện tử của nạn nhân thông qua Discord webhooks (hệ thống trò truyện được lưu trữ), trích xuất và thực thi mã độc hại từ các lưu trữ Electron và tự động cập nhật bằng cách truy vấn máy chủ điều khiển và kiểm soát của kẻ tấn công.
Cuộc tấn công này là một phần của chiến dịch lừa đảo quy mô lớn hoạt động trong suốt năm 2022. Những kẻ tấn công khác đã đăng hơn 144.000 gói liên quan đến lừa đảo trên nhiều kho lưu trữ mã nguồn mở bao gồm NPM, PyPi và NuGet.
Các nhà phát triển đã được cảnh báo về vấn đề này và được khuyến khích để kiểm tra tính toàn vẹn của các gói NuGet mà họ sử dụng để đảm bảo rằng chúng đến từ nguồn tin cậy. Họ cũng nên sử dụng các công cụ bảo mật chuyên dụng để kiểm tra phần mềm và ứng dụng của họ để phát hiện và loại bỏ các mã độc đã được tiêm vào.
Thanh Bùi (Theo Bleepingcomputer)
10:00 | 15/12/2022
18:00 | 01/07/2022
21:00 | 07/12/2021
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024