Τα κακόβουλα πακέτα NuGet κάνουν κατάχρηση του MSBuild για την εγκατάσταση κακόβουλου λογισμικού

By

Marizas Dimitris

On

Νοέ 1, 2023

Μια νέα

καμπάνια

NuGet

typosquatting ωθεί κακόβουλα πακέτα που κάνουν κατάχρηση της ενοποίησης MSBuild του Visual Studio για την εκτέλεση κώδικα και την εγκατάσταση κακόβουλου λογισμικού κρυφά.

Το NuGet είναι ένας διαχειριστής πακέτων ανοιχτού κώδικα και σύστημα διανομής λογισμικού, που επιτρέπει στους

προγραμματιστές

να κάνουν λήψη και να περιλαμβάνουν έτοιμες προς εκτέλεση βιβλιοθήκες .NET για τα έργα τους.

Οι φορείς απειλών που στοχεύουν συστήματα διανομής λογισμικού όπως το npm και το PyPI έχουν δείξει πρόσφατα ενδιαφέρον για το NuGet, το οποίο στοχεύει κυρίως χρήστες των

Windows

και έχει γίνει πολύ δημοφιλές μεταξύ των προγραμματιστών λογισμικού.

Απόκρυψη κώδικα με το MSBuild

Η τελευταία καμπάνια NuGet ήταν

εντοπίστηκε από την ReversingLabs

στις 15 Οκτωβρίου 2023, χρησιμοποιώντας διαφορετικά πακέτα typosquatting για την εγκατάσταση κακόβουλου λογισμικού.

Μερικά από τα πακέτα που εμφανίζονται σε αυτήν την καμπάνια περιλαμβάνουν:

CData.NetSuite.Net.Framework
CData.Salesforce.Net.Framework
Χρόνος.Πλατφόρμες
DiscordsRpc
Kraken.Ανταλλαγή
KucoinExchange.Net
MinecraftPocket.Server
Monero
Pathoschild.Stardew.Mod.Build.Config
Πορτοφόλι

Solana
ZendeskApi.Client.V2

Το νέο στοιχείο αυτής της καμπάνιας είναι ότι αντί να χρησιμοποιούν την τυπική προσέγγιση της ενσωμάτωσης προγραμμάτων λήψης στα σενάρια εγκατάστασης, αυτά τα πακέτα αξιοποιούν την ενσωμάτωση MSBuild του NuGet για την εκτέλεση κώδικα.

Οι ενσωματώσεις MSBuild του NuGet είναι μια δυνατότητα που εισήχθη στο NuGet v2.5 με στόχο την υποστήριξη εγγενών έργων, την αυτοματοποίηση της διαδικασίας κατασκευής και δοκιμής και την παροχή στους προγραμματιστές τη δυνατότητα να ορίζουν προσαρμοσμένες ενέργειες και να επιλύουν εξαρτήσεις.

Όταν το NuGet εγκαθιστά ένα πακέτο που περιέχει έναν φάκελο ‘build’, προσθέτει αυτόματα ένα στοιχείο MSBuild

στο έργο, αναφέροντας τα αρχεία .targets και .props σε αυτόν τον φάκελο. Η διαδικασία δημιουργίας χρησιμοποιεί αυτά τα αρχεία για να ορίσει διαμορφώσεις, ιδιότητες ή προσαρμοσμένες εργασίες.

Αν και προστέθηκε για να βελτιώσει τη διαδικασία κατασκευής και συσκευασίας για έργα λογισμικού, αυτή η νέα ενσωμάτωση NuGet έχει

εγείρει ανησυχίες

σχετικά με τις επιπτώσεις ασφάλειας που εισάγει, καθώς προσθέτει μια νέα μέθοδο για την αυτόματη εκτέλεση σεναρίων κατά την εγκατάσταση ενός πακέτου.

Στην περίπτωση που εντοπίστηκε από το ReversingLabs, ο κακόβουλος κώδικας είναι κρυμμένος μέσα στο αρχείο .targets στον κατάλογο “build” ως ιδιότητα
που υλοποιεί τη λειτουργικότητα των σεναρίων PowerShell που χρησιμοποιούνται σε προηγούμενες εκδόσεις των πακέτων.

, Τα κακόβουλα πακέτα NuGet κάνουν κατάχρηση του MSBuild για την εγκατάσταση κακόβουλου λογισμικού, TechWar.gr — **Κακόβουλος κώδικας μέσα στο αρχείο «στόχοι».**

*(ReversingLabs)*

Κατά την εκτέλεση, ο κώδικας ανακτά ένα εκτελέσιμο αρχείο από μια εξωτερική διεύθυνση και το εκτελεί σε μια νέα διαδικασία.

Αυτή η τεχνική εισήχθη για πρώτη φορά από έναν ερευνητή ασφάλειας το 2019 για να δείξει πώς μπορεί να γίνει κατάχρηση της διαδικασίας MSBuild για την εκτέλεση κώδικα κατά την εγκατάσταση των πακέτων NuGet.

«Πρώτον, το τεχνούργημα συμβολοσειράς στην πρώτη γραμμή του αρχείου, «IAmRootDemo» μας οδήγησε στη ρίζα αυτής της τεχνικής εκτέλεσης», εξηγεί ο Karlo Zanki του ReversingLab σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer.

«Πριν από αρκετά χρόνια, το 2019, η

IAmRoot

Το πακέτο δημοσιεύτηκε από

C. Augusto Proiete

. Ο σκοπός του πακέτου: “Να αποδειχθεί ότι οποιοδήποτε πακέτο NuGet μπορεί να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή σας.””

Ωστόσο, αυτή είναι η πρώτη τεκμηριωμένη περίπτωση απειλών που χρησιμοποιούν αυτήν τη δυνατότητα σε κακόβουλα πακέτα NuGet.

Εξέλιξη υφιστάμενων καμπανιών

Η ReversingLabs αναφέρει ότι τα πακέτα NuGet που εντόπισαν, τα οποία έχουν αφαιρεθεί, ήταν μέρος μιας συνεχιζόμενης εκστρατείας που ξεκίνησε τον Αύγουστο του 2023.

Ωστόσο, δεν έκανε κατάχρηση των ενσωματώσεων MSBuild μέχρι τα μέσα Οκτωβρίου.

Οι προηγούμενες εκδόσεις χρησιμοποιούσαν σενάρια PowerShell (‘init.ps1′) για να ανακτήσουν το ωφέλιμο φορτίο κακόβουλου λογισμικού από ένα αποθετήριο GitHub.

Αυτό δείχνει ότι οι επιτιθέμενοι βελτιώνουν συνεχώς τις τεχνικές τους για να κάνουν τις επιθέσεις πιο κρυφές.

Οι αναλυτές αναφέρουν επίσης ότι παρατήρησαν ισχυρούς δεσμούς με μια καμπάνια που αναφέρθηκε από το Phylum στις αρχές του μήνα, όπου οι εισβολείς χρησιμοποίησαν το typosquatting για να μιμηθούν έργα κρυπτογράφησης και να παραδώσουν SeroXen RAT.

Το ReversingLabs αναφέρει ότι οι παράγοντες απειλών προσπάθησαν αμέσως να ανεβάσουν νέα πακέτα μετά την κατάργηση των προηγούμενων, δείχνοντας πρόθεση να συνεχίσουν την καμπάνια.

VIA:

bleepingcomputer.com

Παρόμοια άρθρα