يعد مستودع NuGet هدفًا لهجوم جديد "معقد وشديد الضرر" يهدف إلى إصابة أنظمة مطوري .NET ببرامج ضارة تعمل على سرقة العملات المشفرة.
الحزم المارقة الـ 13 ، التي تم تنزيلها أكثر من 160 ألف مرة خلال الشهر الماضي ، تم حذفها منذ ذلك الحين.
قال الباحثان في JFrog Natan Nehorai و Brian Moussalli: "تحتوي الحزم على برنامج نصي PowerShell سيتم تنفيذه عند التثبيت وتشغيل تنزيل حمولة" المرحلة الثانية "، والتي يمكن تنفيذها عن بُعد" .
بينما تم اكتشاف أن حزم NuGet في الماضي تحتوي على ثغرات أمنية ويتم إساءة استخدامها لنشر روابط التصيد الاحتيالي ، فإن التطوير يمثل أول اكتشاف على الإطلاق للحزم التي تحتوي على تعليمات برمجية ضارة.
ثلاثة من أكثر الحزم التي تم تنزيلها - Coinbase.Core و Anarchy.Wrapper.Net و DiscordRichPresence.API - استأثرت وحدها بـ 166000 عملية تنزيل ، على الرغم من أنه من الممكن أيضًا أن يقوم المهاجمون بتضخيم عدد التنزيلات بشكل مصطنع باستخدام برامج الروبوت لجعلها تبدو أكثر شرعية.
يؤكد استخدام Coinbase و Discord على الاعتماد المستمر على تقنيات الكتابة المطبعية ، حيث يتم تعيين أسماء الحزم المزيفة المشابهة للحزم الشرعية ، من أجل خداع المطورين لتنزيلها.
تعمل البرامج الضارة المدمجة في حزم البرامج كبرنامج نصي للقطارة وهي مصممة لتشغيل رمز PowerShell تلقائيًا الذي يسترد ثنائي متابعة من خادم مشفر بشكل ثابت.
كآلية تشويش إضافية ، لم تقم بعض الحزم بتضمين حمولة ضارة مباشرة ، وبدلاً من ذلك تقوم بإحضارها عبر حزمة مفخخة أخرى كتبعية.
الأمر الأكثر إثارة للقلق هو أن الاتصال بخادم الأوامر والتحكم (C2) يحدث عبر HTTP (على عكس HTTPS) ، مما يجعله عرضة لهجوم الخصم في الوسط (AiTM).
المرحلة الثانية من البرامج الضارة هي ما يصفه JFrog بأنه "حمولة قابلة للتنفيذ مخصصة بالكامل" يمكن تبديلها ديناميكيًا حسب الرغبة حيث يتم استردادها من خادم C2.
توفر المرحلة الثانية العديد من الإمكانات التي تتضمن أداة سرقة تشفير ووحدة تحديث تلقائي تقوم باختبار اتصال خادم C2 للحصول على إصدار محدث من البرامج الضارة.
تأتي هذه النتائج في الوقت الذي أصبحت فيه سلسلة توريد البرامج مسارًا مربحًا بشكل متزايد لإلحاق الضرر بأنظمة المطورين ونشر التعليمات البرمجية ذات الأبواب الخلفية بشكل خفي للمستخدمين النهائيين.
قال شاحار منشيه ، المدير الأول في JFrog Security Research ، في بيان مشترك مع The Hacker News: "هذا يثبت أنه لا يوجد مستودع مفتوح المصدر في مأمن من الجهات الخبيثة".
"لا يزال مطورو .NET الذين يستخدمون NuGet معرضين لخطر كبير من التعليمات البرمجية الضارة التي تصيب بيئاتهم ويجب عليهم توخي الحذر عند تنسيق مكونات مفتوحة المصدر لاستخدامها في بنياتهم - وفي كل خطوة من دورة حياة تطوير البرامج - لضمان بقاء سلسلة توريد البرامج يؤمن."