Bilgisayar korsanları sıklıkla NuGet’i hedef alırlar çünkü NuGet, geliştiricilerin yeniden kullanılabilir kodu paylaşmak ve tüketmek için yaygın olarak kullandığı, .NET için popüler bir paket yöneticisidir.
Tehdit aktörleri, NuGet paketlerini tehlikeye atarak birçok projeye kötü amaçlı kod dağıtabilir.
Ağustos 2023’te ReversingLabs, NuGet’e yönelik kötü amaçlı bir saldırı tespit etti ve tehdit aktörleri tarafından kullanılan tekniklerdeki değişikliği fark etti.
Kötü Amaçlı NuGet Kampanyası
Daha önce 700’den fazla kötü amaçlı pakette basit başlatma betikleri kullanıyorlardı ve daha sonra NuGet’in MSBuild entegrasyonlarını istismar etmek için *.targets dosyalarını kullanmaya başladılar.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
En son varyant, IL dokuma kullanılarak gerçek PE ikili dosyalarına dahil edilen karartılmış indiricileri kullanır.
Güvenilir görünmek için kimliğe bürünme, yazım yanlışı yapma ve indirme sayılarını yapay olarak şişirme gibi girişimlerde bulunuldu.
Bu saldırı, saldırganların .NET ekosistemini daha da tehlikeye atmak için taktiklerini nasıl ayarlayabildiğinin ve becerilerini nasıl geliştirebildiğinin bir örneğidir.
Bu tehdit aktörü, IL dokuma tekniklerini kullanacak şekilde evrimleşen gelişmiş becerilerle altı aydan uzun süredir NuGet’i ısrarla hedef alıyor.
Bu yöntem, kötü amaçlı modül başlatıcılarını meşru .NET ikili dosyalarına enjekte ettiği için tespit karmaşıklığını artırır.
Son zamanlarda, saldırılar arasında Guna.UI2.WinForms gibi popüler paketlerden DLL dosyalarının yamalanması ve NuGet’in ön ek rezervasyon sistemini atlatmak için typosquatting kullanılması yer alıyor. Gizlenmiş SeroXen RAT, enjekte edilen kod kullanılarak indiriliyor.
Sonuçta, derlenmiş ikili dosyaları analiz etmek düz metin komut dosyalarını analiz etmekten daha karmaşık olabilirken, ReversingLabs Spectra Assure gibi yazılımlar, bu değiştirilmiş paketlerdeki şüpheli işlevleri tespit edebilir ve sonuç olarak NET ekosistemi içindeki tehdit aktörleri ile güvenlik önlemleri arasında bir kedi-fare oyunu olduğunu ortaya koyar.
Araştırmacılar, önek rezervasyonlarından kaçınmak için homoglifler kullanan NuGet kampanyasının gerçek gibi görünen ama olmayan paketler ürettiğini söyledi.
Saldırganlar, yasal DLL’leri değiştirmek için IL dokuma yöntemini kullandılar ve gizlenmiş modül başlatıcıları enjekte ederek kötü amaçlı yazılım tespitini zorlaştırdılar.
ReversingLabs bu kampanyada yaklaşık 60 paket ve 290 versiyon tespit etti, bunların hepsi zaten NuGet’ten silinmişti.
Bu saldırının tedarik zinciri tehditlerindeki yeni taktikleri arasında ikili yamalar ve gelişmiş yazım yanlışı saldırıları gibi yazılımlar yer alıyor.
Bu durum, geliştirme kuruluşlarının açık kaynaklı paket yöneticilerine yönelik bu tür gizli saldırılara karşı daha dikkatli olmaları ve gelişmiş tespit teknikleri kullanmaları gerektiğini göstermesi açısından önemlidir.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo