Siber suçlular arasında, yazım hatası adı verilen sinsi bir taktik kullanarak .NET çerçevesiyle çalışan bireyleri hedef alan endişe verici bir eğilim var.
Bu, meşru yazılımların adlarını taklit eden sahte paketler oluşturmayı ve bunları popüler NuGet deposu aracılığıyla dağıtmayı içerir.
JFrog’dan siber güvenlik araştırmacıları Natan Nehorai ve Brian Moussalli, sahte paketler yoluyla kötü amaçlı yazılım dağıtımını içeren bu devam eden kampanyayı tespit etti.
Sadece bir ayda bu paketlerden üçü 150.000’den fazla indirildi. Kötü amaçlı NuGet paketlerinin kapsamlı indirmeleri, .NET geliştiricileri arasında güvenliği ihlal edilmiş birçok sistemi gösterebilir.
Ancak bu saldırının arkasındaki siber suçluların, indirme sayılarını yapay olarak şişirerek kasıtlı olarak sahte paketlerini meşrulaştırmaya çalışmış olmaları da mümkündür.
Bu saldırıdan sorumlu siber suçlular, NuGet deposu aracılığıyla sahte paketler dağıtmanın yanı sıra, yazım hatası olarak bilinen bir teknik de kullandılar.
Saldırganlar, NuGet .NET paket yöneticisi üzerinde çalışan Microsoft yazılım geliştiricilerinin adlarını taklit eden NuGet deposunda sahte profiller oluşturarak, kullanıcıları paketlerin yasal olduğuna inandırmaya çalıştı.
Kötü Amaçlı Paketler Keşfedildi
Uzmanların belirlediği aynı kötü amaçlı yükü içeren bir dizi NuGet paketi vardır: –
Hileli NuGet deposu aracılığıyla dağıtılan kötü amaçlı paketler, hedeflenen makineye indirmek ve çalıştırmak için tasarlanmış, init.ps1 adlı PowerShell tabanlı bir damlalık komut dosyası içerir.
Komut dosyası yürütüldükten sonra, etkilenen sistemi PowerShell’in herhangi bir kısıtlama olmadan yürütülmesine izin verecek şekilde yapılandırır ve saldırganların sisteme sınırsız erişimini etkin bir şekilde sağlar.
PowerShell tabanlı damlalık komut dosyasını yürüttükten sonra, kötü amaçlı paketler ikinci aşama bir yük indirir ve başlatır. Bu yük, özellikle bu saldırı için tasarlanmış, özel olarak oluşturulmuş bir Windows yürütülebilir dosyasıdır.
Güvenliği ihlal edilmiş sistemlere dağıtılan kötü amaçlı yazılım, çeşitli kötü amaçlı faaliyetler yürütme yeteneğine sahiptir.
Kötü Amaçlı NuGet Paketlerini Tespit Etme
Aşağıda, tüm önemli noktalardan bahsetmiştik: –
- Bir geliştiricinin ilk sorumluluğu, yazım hatası içeren paketleri içe aktarmamalarını veya yüklememelerini sağlamak olmalıdır.
- Bazı paketler, bir programcının bunları istemeden projelerine dahil edebileceğini veya bir gereksinim olarak belirtebileceğini umarak, yerleşik ve saygın paketlerin adlarını taklit ettikleri bir taktik kullanır.
- Kullanıcılar ayrıca, kurulum ve başlatma komut dosyalarını herhangi bir şüpheli kod veya etkinlik için dikkatlice inceleyerek potansiyel olarak zararlı paketlerin yüklenmesine karşı kendilerini koruyabilirler.
- Çalıştırdığınızda harici kaynaklardan kaynakları alacak ve yürütecek komut dosyalarına dikkat edin.
- Paketi yerel olarak indirirken hiçbir betik veya ikili dosyanın yanlışlıkla yürütülmediğinden emin olun.
- Nispeten yeni bir paketin düşük indirme sayısı bir riske işaret edebilir.
Mevcut saldırı, daha geniş kapsamlı, kötü niyetli bir kampanyanın yalnızca bir yönüdür. Bu kampanya, çeşitli açık kaynak paket havuzlarına kimlik avı ile ilgili 144.000’den fazla paketi yüklemek gibi cesur bir adım atan birden fazla saldırganı içeriyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin