Sommario
Una recente campagna di typosquatting su NuGet sta distribuendo pacchetti malevoli che sfruttano lโintegrazione di MSBuild di Visual Studio per eseguire codice e installare malware in modo furtivo. NuGet, un sistema di distribuzione software open-source, permette agli sviluppatori di scaricare e includere librerie .NET pronte allโuso nei loro progetti.
Dettagli sulla campagna
La campagna รจ stata individuata da ReversingLabs il 15 ottobre 2023 e utilizza vari pacchetti typosquatting per installare malware. Alcuni dei pacchetti identificati includono:
- CData.NetSuite.Net.Framework
- CData.Salesforce.Net.Framework
- Chronos.Platforms
- DiscordsRpc
- Kraken.Exchange
- KucoinExchange.Net
- MinecraftPocket.Server
- Monero
- Pathoschild.Stardew.Mod.Build.Config
- SolanaWallet
- ZendeskApi.Client.V2
A differenza delle tecniche tradizionali che incorporano downloader negli script di installazione, questi pacchetti sfruttano lโintegrazione di MSBuild di NuGet per lโesecuzione del codice.
Come funziona lโabuso di MSBuild
Quando NuGet installa un pacchetto contenente una cartella โ\buildโ, aggiunge automaticamente un elemento MSBuild <Import> al progetto, facendo riferimento ai file .targets e .props in quella cartella. Questi file vengono utilizzati durante il processo di compilazione per impostare configurazioni, proprietร o compiti personalizzati. Tuttavia, questa integrazione ha sollevato preoccupazioni sulla sicurezza, poichรฉ introduce un nuovo metodo per eseguire automaticamente script quando viene installato un pacchetto.
Nel caso segnalato da ReversingLabs, il codice malevolo รจ nascosto allโinterno del file <packageID>.targets nella directory โbuildโ. Una volta eseguito, il codice recupera un eseguibile da un indirizzo esterno e lo esegue in un nuovo processo.
Evoluzione delle campagne
ReversingLabs ha rilevato che i pacchetti NuGet, ora rimossi, facevano parte di una campagna in corso iniziata nellโagosto 2023. Tuttavia, non hanno sfruttato le integrazioni di MSBuild fino a metร ottobre. Le versioni precedenti utilizzavano script PowerShell per recuperare il payload del malware da un repository GitHub. Questo suggerisce che gli aggressori stiano perfezionando continuamente le loro tecniche. Gli analisti hanno anche osservato forti legami con una campagna segnalata da Phylum allโinizio del mese.