Pacchetti NuGet sfruttano MSBuild per installare malware

da Redazione
0 commenti 2 minuti leggi

Una recente campagna di typosquatting su NuGet sta distribuendo pacchetti malevoli che sfruttano lโ€™integrazione di MSBuild di Visual Studio per eseguire codice e installare malware in modo furtivo. NuGet, un sistema di distribuzione software open-source, permette agli sviluppatori di scaricare e includere librerie .NET pronte allโ€™uso nei loro progetti.

Dettagli sulla campagna

La campagna รจ stata individuata da ReversingLabs il 15 ottobre 2023 e utilizza vari pacchetti typosquatting per installare malware. Alcuni dei pacchetti identificati includono:

  • CData.NetSuite.Net.Framework
  • CData.Salesforce.Net.Framework
  • Chronos.Platforms
  • DiscordsRpc
  • Kraken.Exchange
  • KucoinExchange.Net
  • MinecraftPocket.Server
  • Monero
  • Pathoschild.Stardew.Mod.Build.Config
  • SolanaWallet
  • ZendeskApi.Client.V2

A differenza delle tecniche tradizionali che incorporano downloader negli script di installazione, questi pacchetti sfruttano lโ€™integrazione di MSBuild di NuGet per lโ€™esecuzione del codice.

Come funziona lโ€™abuso di MSBuild

Quando NuGet installa un pacchetto contenente una cartella โ€˜\buildโ€™, aggiunge automaticamente un elemento MSBuild <Import> al progetto, facendo riferimento ai file .targets e .props in quella cartella. Questi file vengono utilizzati durante il processo di compilazione per impostare configurazioni, proprietร  o compiti personalizzati. Tuttavia, questa integrazione ha sollevato preoccupazioni sulla sicurezza, poichรฉ introduce un nuovo metodo per eseguire automaticamente script quando viene installato un pacchetto.

Annunci
image 358
Pacchetti NuGet sfruttano MSBuild per installare malware 7

Nel caso segnalato da ReversingLabs, il codice malevolo รจ nascosto allโ€™interno del file <packageID>.targets nella directory โ€œbuildโ€. Una volta eseguito, il codice recupera un eseguibile da un indirizzo esterno e lo esegue in un nuovo processo.

Evoluzione delle campagne

ReversingLabs ha rilevato che i pacchetti NuGet, ora rimossi, facevano parte di una campagna in corso iniziata nellโ€™agosto 2023. Tuttavia, non hanno sfruttato le integrazioni di MSBuild fino a metร  ottobre. Le versioni precedenti utilizzavano script PowerShell per recuperare il payload del malware da un repository GitHub. Questo suggerisce che gli aggressori stiano perfezionando continuamente le loro tecniche. Gli analisti hanno anche osservato forti legami con una campagna segnalata da Phylum allโ€™inizio del mese.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara