Un malware per il furto di criptovalute è stato recentemente distribuito tramite 13 pacchetti NuGet malevoli come parte di un attacco alla catena di fornitura mirato agli sviluppatori .NET.
La campagna di typosquatting e il malware Impala Stealer
La campagna di typosquatting, scoperta da JFrog il mese scorso, impersonava pacchetti legittimi per eseguire codice PowerShell progettato per recuperare un binario da un server predefinito. L’attacco si conclude con il dispiegamento di un backdoor persistente basato su .NET, chiamato Impala Stealer, in grado di accedere senza autorizzazione agli account criptovaluta degli utenti.
Tecnica di offuscamento .NET AoT e meccanismo di aggiornamento automatico
Il payload del malware utilizzava una rara tecnica di offuscamento chiamata “.NET AoT compilation”, che risulta più furtiva rispetto agli offuscatori comuni e rende il binario difficile da ingegnerizzare al contrario. Il payload di seconda fase include un meccanismo di aggiornamento automatico che consente di recuperare nuove versioni dell’eseguibile da una posizione remota.
Persistenza e furto di dati tramite iniezione di codice
Il malware raggiunge la persistenza iniettando codice JavaScript nelle app Discord o Microsoft Visual Studio Code, attivando l’avvio del binario del furto. Successivamente, cerca l’installazione dell’applicazione desktop Exodus Wallet e inserisce codice JavaScript in vari file HTML per raccogliere ed esfiltrare dati sensibili.
Protezione e sicurezza nella catena di fornitura del software
Le scoperte dimostrano che nessun repository di software open source è completamente affidabile, pertanto è necessario adottare misure di sicurezza in ogni fase del ciclo di sviluppo del software per garantire la sicurezza della catena di fornitura.
Altri casi di malware e attacchi alla catena di fornitura
Recentemente, la società di sicurezza Phylum ha scoperto un pacchetto npm malevolo chiamato mathjs-min, che conteneva un malware per il furto di credenziali di Discord e browser come Google Chrome, Brave e Opera.
