Araştırmacılar, NuGet paket yöneticisini hedef alan karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardı. Ağustos 2023’te başlayan devam eden saldırı, tespit edilmekten kaçınmak ve geliştiricileri kandırmak için homoglifler ve IL dokuma gibi gelişmiş teknikler kullanacak şekilde gelişti.
NuGet, geliştiricilerin .NET (.NET Core kodu dahil) oluşturmasına, paylaşmasına ve tüketmesine olanak tanıyan Microsoft tarafından desteklenen bir paylaşım mekanizmasıdır.
Tehdit aktörleri zamanla yöntemlerini geliştirerek, basit başlatma betiklerinden, korunan NuGet öneklerini taklit ederek meşru .NET ikili dosyalarına kötü amaçlı kod enjekte eden daha karmaşık yaklaşımlara geçtiler.
Homoglif Saldırıları Güvenlik Önlemlerini Aştı
ReversingLabs araştırmacıları, saldırganların akıllıca bir hamleyle platformun önek rezervasyon sistemini atlatmak için NuGet’in homoglif desteğini istismar ettiğini gözlemledi. Görsel olarak aynı ancak teknik olarak farklı karakterler kullanarak meşru görünen ancak olağan kısıtlamalara tabi olmayan paket adları oluşturdular.
Bu kampanyada kullanılan en dikkat çekici tekniklerden biri, aynı görünen ancak farklı dijital tanımlayıcılara sahip benzersiz karakterler olan homogliflerin kullanımıdır. Saldırganlar, NuGet’in bir güvenlik özelliği olan ayrılmış “Guna” önekini kullananları ikna edici şekilde taklit eden bir paket oluşturmak için homoglifleri kullandı.
Örneğin, “Gսոa.UI3.Wіnfօrms” adlı kötü amaçlı paket, “Guna” önekini taklit etmek için Ermenice ve Kiril karakterlerini kullandı ve saldırganların resmi görünen ancak kötü amaçlı kod içeren paketler yayınlamasına olanak tanıdı.
Kampanyanın son aşaması, derlenmiş .NET ikili dosyalarını değiştiren bir teknik olan IL dokumayı kullanıyor. Saldırganlar, modül ilk yüklendiğinde çalıştırılan kötü amaçlı modül başlatıcılarını eklemek için meşru DLL dosyalarını yamalar.
Bu yaklaşım, kötü amaçlı kodun meşru ikili dosyalara gömülmesi nedeniyle tespiti daha zor hale getirir. Enjekte edilen kod genellikle bir indirici olarak işlev görür ve saldırgan tarafından kontrol edilen sunuculardan ek kötü amaçlı yazılımlar alır.
Araştırmacılar bu kampanyaya dahil olan yaklaşık 60 paket ve 290 sürüm tespit etti. Etkilenen paketler NuGet’ten kaldırılmış olsa da, saldırının gelişen doğası yazılım tedarik zincirinde daha fazla dikkat gösterilmesi gerektiğinin altını çiziyor.
Gelişmiş Taktikler
Bu kampanyanın arkasındaki tehdit aktörleri, NuGet’in MSBuild entegrasyonlarını istismar etmekten, IL dokuma yoluyla meşru PE ikili dosyalarına yerleştirilen basit, gizlenmiş indiricileri kullanmaya doğru evrimleşerek taktiklerini sürekli olarak iyileştirdiler. Bu teknik, derlenmiş .NET ikili dosyalarına kötü amaçlı işlevsellik eklemelerine olanak tanıyarak, tespit edilmesini zorlaştırıyor.
Bu kötü amaçlı paketlerin tespiti, homoglifler ve IL dokuma kullanımı nedeniyle zordur. YARA gibi geleneksel tespit yöntemleri bu tehditleri tespit etmede etkili olmayabilir. Ancak davranış analizi şüpheli paketleri ve tehlikeye işaret eden göstergeleri tespit etmeye yardımcı olabilir.
Bu son kampanya, kötü niyetli aktörlerin ve onların gelişen taktiklerinin önünde kalmanın önemini vurguluyor. Homogliflerin ve IL dokumacılığının kullanımı, saldırganların geliştiricileri ve güvenlik ekiplerini aldatma konusundaki yaratıcılığını ve kararlılığını gösteriyor. Geliştirme kuruluşlarının yazılım tedarik zinciri güvenliğine öncelik vermesi ve ortaya çıkan tehditler hakkında bilgi sahibi olması hayati önem taşıyor.
Araştırmacılar, bu kampanya için potansiyel Tehlike Göstergelerini (IOC’ler) NuGet yöneticileriyle paylaştı ve tanımlanan paketler platformdan kaldırıldı. Geliştiricilerin uyanık kalması ve yazılım tedarik zincirinin güvenliğini sağlamak için şüpheli paketleri bildirmesi önemlidir.