NuGet là một công cụ quản lý gói phần mềm dành cho .NET Framework, cho phép các nhà phát triển dễ dàng tìm và cài đặt các thư viện và phần mềm bổ sung cho các ứng dụng của họ.
Ba gói dữ liệu hàng đầu trên NuGet được tải xuống hơn 150.000 lượt trong 1 tháng cho thấy, cuộc tấn công này đang diễn ra mạnh mẽ và nó thành công trong việc xâm nhập vào lượng lớn thiết bị. Đây cũng có thể là số liệu được kẻ tấn công sử dụng bot tạo ra nhằm tăng tính tin cậy của các gói dữ liệu.
Những cuộc tấn công cũng sử dụng kỹ thuật typosquatting khi tạo các hồ sơ kho lưu trữ NuGet của chúng để mạo danh thành các nhà phát triển phần mềm Microsoft làm việc trên trình quản lý gói .NET NuGet.
Số lượng tải xuống của các gói trên NuGet cung cấp bởi tài khoản mạo danh
Các tài liệu bảo mật của Microsoft cho thấy rằng một số gói NuGet bị nhiễm mã độc và được phát tán thông qua các kênh khác nhau như GitHub và trang web của riêng chúng.
Các gói NuGet này đã bị tấn công bằng cách thay thế mã nguồn được tải lên với mã độc, khiến cho các phần mềm và ứng dụng được xây dựng từ mã nguồn này cũng bị lây nhiễm.
Các gói dữ liệu độc hại được thiết kế để tải xuống và thực thi một script dropper (là một loại phần mềm độc hại được phát triển để có thể virus tự động cài đặt bằng các lệnh trong tệp) dựa trên PowerShell (init.ps1) khiến thiết bị nạn nhân cho phép thực thi PowerShell mà không có bất kỳ hạn chế nào.
PowerShell dropper script
Phần mềm độc hại này dễ dàng qua mặt Defender (phần mềm phòng ngừa virus tích hợp sẵn trong hệ điều hành Microsoft Windows) để xâm nhập vào hệ thống, chúng có thể được sử dụng để lấy cắp tiền điện tử bằng cách lấy trộm ví tiền điện tử của nạn nhân thông qua Discord webhooks (hệ thống trò truyện được lưu trữ), trích xuất và thực thi mã độc hại từ các lưu trữ Electron và tự động cập nhật bằng cách truy vấn máy chủ điều khiển và kiểm soát của kẻ tấn công.
Cuộc tấn công này là một phần của chiến dịch lừa đảo quy mô lớn hoạt động trong suốt năm 2022. Những kẻ tấn công khác đã đăng hơn 144.000 gói liên quan đến lừa đảo trên nhiều kho lưu trữ mã nguồn mở bao gồm NPM, PyPi và NuGet.
Các nhà phát triển đã được cảnh báo về vấn đề này và được khuyến khích để kiểm tra tính toàn vẹn của các gói NuGet mà họ sử dụng để đảm bảo rằng chúng đến từ nguồn tin cậy. Họ cũng nên sử dụng các công cụ bảo mật chuyên dụng để kiểm tra phần mềm và ứng dụng của họ để phát hiện và loại bỏ các mã độc đã được tiêm vào.
Thanh Bùi (Theo Bleepingcomputer)
10:00 | 15/12/2022
18:00 | 01/07/2022
21:00 | 07/12/2021
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024