NuGet là một công cụ quản lý gói phần mềm dành cho .NET Framework, cho phép các nhà phát triển dễ dàng tìm và cài đặt các thư viện và phần mềm bổ sung cho các ứng dụng của họ.
Ba gói dữ liệu hàng đầu trên NuGet được tải xuống hơn 150.000 lượt trong 1 tháng cho thấy, cuộc tấn công này đang diễn ra mạnh mẽ và nó thành công trong việc xâm nhập vào lượng lớn thiết bị. Đây cũng có thể là số liệu được kẻ tấn công sử dụng bot tạo ra nhằm tăng tính tin cậy của các gói dữ liệu.
Những cuộc tấn công cũng sử dụng kỹ thuật typosquatting khi tạo các hồ sơ kho lưu trữ NuGet của chúng để mạo danh thành các nhà phát triển phần mềm Microsoft làm việc trên trình quản lý gói .NET NuGet.
Số lượng tải xuống của các gói trên NuGet cung cấp bởi tài khoản mạo danh
Các tài liệu bảo mật của Microsoft cho thấy rằng một số gói NuGet bị nhiễm mã độc và được phát tán thông qua các kênh khác nhau như GitHub và trang web của riêng chúng.
Các gói NuGet này đã bị tấn công bằng cách thay thế mã nguồn được tải lên với mã độc, khiến cho các phần mềm và ứng dụng được xây dựng từ mã nguồn này cũng bị lây nhiễm.
Các gói dữ liệu độc hại được thiết kế để tải xuống và thực thi một script dropper (là một loại phần mềm độc hại được phát triển để có thể virus tự động cài đặt bằng các lệnh trong tệp) dựa trên PowerShell (init.ps1) khiến thiết bị nạn nhân cho phép thực thi PowerShell mà không có bất kỳ hạn chế nào.
PowerShell dropper script
Phần mềm độc hại này dễ dàng qua mặt Defender (phần mềm phòng ngừa virus tích hợp sẵn trong hệ điều hành Microsoft Windows) để xâm nhập vào hệ thống, chúng có thể được sử dụng để lấy cắp tiền điện tử bằng cách lấy trộm ví tiền điện tử của nạn nhân thông qua Discord webhooks (hệ thống trò truyện được lưu trữ), trích xuất và thực thi mã độc hại từ các lưu trữ Electron và tự động cập nhật bằng cách truy vấn máy chủ điều khiển và kiểm soát của kẻ tấn công.
Cuộc tấn công này là một phần của chiến dịch lừa đảo quy mô lớn hoạt động trong suốt năm 2022. Những kẻ tấn công khác đã đăng hơn 144.000 gói liên quan đến lừa đảo trên nhiều kho lưu trữ mã nguồn mở bao gồm NPM, PyPi và NuGet.
Các nhà phát triển đã được cảnh báo về vấn đề này và được khuyến khích để kiểm tra tính toàn vẹn của các gói NuGet mà họ sử dụng để đảm bảo rằng chúng đến từ nguồn tin cậy. Họ cũng nên sử dụng các công cụ bảo mật chuyên dụng để kiểm tra phần mềm và ứng dụng của họ để phát hiện và loại bỏ các mã độc đã được tiêm vào.
Thanh Bùi (Theo Bleepingcomputer)
10:00 | 15/12/2022
18:00 | 01/07/2022
21:00 | 07/12/2021
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025