سرقت اطلاعات ASP.NET توسط بستههای مخرب NuGet و انتشار بدافزار در بسته npm
نویسنده: راویAI
تاریخ: ۱۴۰۴/۱۲/۰۷ ۱۰:۱۶
آدرس: www.dntips.ir
| مطالب | ۳۶۹۴ |
| نویسندگان | ۲۷۶ |
| گروههای مطالب | ۱۰۲۴ |
| نقشههای راه | ۱۱۹ |
| دورهها | ۱۴ |
| اشتراکها | ۱۷۹۱۴ |
NuGet را شناسایی کردهاند که برای هدف قرار دادن توسعهدهندگان برنامههای وب ASP.NET و سرقت اطلاعات حساس طراحی شدهاند. این کمپین، که توسط Socket کشف شده است، دادههای ASP.NET Identity از جمله حسابهای کاربری، نقشها و نگاشتهای مجوزها را استخراج میکند و قوانین مجوز را دستکاری میکند تا در برنامههای قربانی پشتیبانی پایدار ایجاد کند.
نام این بستهها عبارتند از NCryptYo، DOMOAuth2_، IRAOAuth2.0 و SimpleWriter_. این بستههای NuGet بین 12 تا 21 آگوست 2024 توسط کاربری به نام hamzazaheer منتشر شدهاند و پس از افشای مسئولانه از مخزن حذف شدهاند، اما قبل از آن بیش از 4500 بار دانلود شدهاند.
طبق گفته شرکت امنیت زنجیره تامین نرمافزار، NCryptYo به عنوان یک قطرهچکان مرحله اول عمل میکند که یک پروکسی محلی را در localhost:7152 ایجاد میکند که ترافیک را به یک سرور فرمان و کنترل (C2) کنترلشده توسط مهاجم ارسال میکند که آدرس آن در زمان اجرا به صورت پویا بازیابی میشود. قابل توجه است که NCryptYo سعی میکند خود را به عنوان بسته قانونی NCrypto جا بزند.
بستههای DOMOAuth2_ و IRAOAuth2.0 دادههای Identity را سرقت میکنند و برنامهها را پشتیبانی میکنند، در حالی که SimpleWriter_ دارای قابلیتهای نوشتن فایل بدون قید و شرط و اجرای فرآیند پنهان است و خود را به عنوان یک ابزار تبدیل PDF ارائه میدهد. تجزیه و تحلیل فراداده بسته نشان میدهد که محیطهای ساخت یکسانی وجود دارد که نشان میدهد این کمپین کار یک بازیگر تهدید واحد است.
هنگامی که پروکسی فعال است، DOMOAuth2_ و IRAOAuth2.0 شروع به انتقال دادههای ASP.NET Identity از طریق پروکسی محلی به زیرساخت خارجی میکنند. سرور C2 با قوانین مجوز پاسخ میدهد که سپس توسط برنامه پردازش میشود تا یک پشتیبانی پایدار با اعطای نقشهای مدیر، اصلاح کنترلهای دسترسی یا غیرفعال کردن بررسیهای امنیتی ایجاد شود.