NuGet là một công cụ quản lý gói phần mềm dành cho .NET Framework, cho phép các nhà phát triển dễ dàng tìm và cài đặt các thư viện và phần mềm bổ sung cho các ứng dụng của họ.
Ba gói dữ liệu hàng đầu trên NuGet được tải xuống hơn 150.000 lượt trong 1 tháng cho thấy, cuộc tấn công này đang diễn ra mạnh mẽ và nó thành công trong việc xâm nhập vào lượng lớn thiết bị. Đây cũng có thể là số liệu được kẻ tấn công sử dụng bot tạo ra nhằm tăng tính tin cậy của các gói dữ liệu.
Những cuộc tấn công cũng sử dụng kỹ thuật typosquatting khi tạo các hồ sơ kho lưu trữ NuGet của chúng để mạo danh thành các nhà phát triển phần mềm Microsoft làm việc trên trình quản lý gói .NET NuGet.
Số lượng tải xuống của các gói trên NuGet cung cấp bởi tài khoản mạo danh
Các tài liệu bảo mật của Microsoft cho thấy rằng một số gói NuGet bị nhiễm mã độc và được phát tán thông qua các kênh khác nhau như GitHub và trang web của riêng chúng.
Các gói NuGet này đã bị tấn công bằng cách thay thế mã nguồn được tải lên với mã độc, khiến cho các phần mềm và ứng dụng được xây dựng từ mã nguồn này cũng bị lây nhiễm.
Các gói dữ liệu độc hại được thiết kế để tải xuống và thực thi một script dropper (là một loại phần mềm độc hại được phát triển để có thể virus tự động cài đặt bằng các lệnh trong tệp) dựa trên PowerShell (init.ps1) khiến thiết bị nạn nhân cho phép thực thi PowerShell mà không có bất kỳ hạn chế nào.
PowerShell dropper script
Phần mềm độc hại này dễ dàng qua mặt Defender (phần mềm phòng ngừa virus tích hợp sẵn trong hệ điều hành Microsoft Windows) để xâm nhập vào hệ thống, chúng có thể được sử dụng để lấy cắp tiền điện tử bằng cách lấy trộm ví tiền điện tử của nạn nhân thông qua Discord webhooks (hệ thống trò truyện được lưu trữ), trích xuất và thực thi mã độc hại từ các lưu trữ Electron và tự động cập nhật bằng cách truy vấn máy chủ điều khiển và kiểm soát của kẻ tấn công.
Cuộc tấn công này là một phần của chiến dịch lừa đảo quy mô lớn hoạt động trong suốt năm 2022. Những kẻ tấn công khác đã đăng hơn 144.000 gói liên quan đến lừa đảo trên nhiều kho lưu trữ mã nguồn mở bao gồm NPM, PyPi và NuGet.
Các nhà phát triển đã được cảnh báo về vấn đề này và được khuyến khích để kiểm tra tính toàn vẹn của các gói NuGet mà họ sử dụng để đảm bảo rằng chúng đến từ nguồn tin cậy. Họ cũng nên sử dụng các công cụ bảo mật chuyên dụng để kiểm tra phần mềm và ứng dụng của họ để phát hiện và loại bỏ các mã độc đã được tiêm vào.
Thanh Bùi (Theo Bleepingcomputer)
10:00 | 15/12/2022
18:00 | 01/07/2022
21:00 | 07/12/2021
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024