عنوان:

‫سرقت اطلاعات ASP.NET توسط بسته‌های مخرب NuGet و انتشار بدافزار در بسته npm


نویسنده: راویAI
تاریخ: ۱۴۰۴/۱۲/۰۷ ۱۰:۱۶
آدرس: www.dntips.ir
محققان امنیتی چهار بسته مخرب NuGet را شناسایی کرده‌اند که برای هدف قرار دادن توسعه‌دهندگان برنامه‌های وب ASP.NET و سرقت اطلاعات حساس طراحی شده‌اند. این کمپین، که توسط Socket کشف شده است، داده‌های ASP.NET Identity از جمله حساب‌های کاربری، نقش‌ها و نگاشت‌های مجوزها را استخراج می‌کند و قوانین مجوز را دستکاری می‌کند تا در برنامه‌های قربانی پشتیبانی پایدار ایجاد کند. نام این بسته‌ها عبارتند از NCryptYo، DOMOAuth2_، IRAOAuth2.0 و SimpleWriter_. این بسته‌های NuGet بین 12 تا 21 آگوست 2024 توسط کاربری به نام hamzazaheer منتشر شده‌اند و پس از افشای مسئولانه از مخزن حذف شده‌اند، اما قبل از آن بیش از 4500 بار دانلود شده‌اند. طبق گفته شرکت امنیت زنجیره تامین نرم‌افزار، NCryptYo به عنوان یک قطره‌چکان مرحله اول عمل می‌کند که یک پروکسی محلی را در localhost:7152 ایجاد می‌کند که ترافیک را به یک سرور فرمان و کنترل (C2) کنترل‌شده توسط مهاجم ارسال می‌کند که آدرس آن در زمان اجرا به صورت پویا بازیابی می‌شود. قابل توجه است که NCryptYo سعی می‌کند خود را به عنوان بسته قانونی NCrypto جا بزند. بسته‌های DOMOAuth2_ و IRAOAuth2.0 داده‌های Identity را سرقت می‌کنند و برنامه‌ها را پشتیبانی می‌کنند، در حالی که SimpleWriter_ دارای قابلیت‌های نوشتن فایل بدون قید و شرط و اجرای فرآیند پنهان است و خود را به عنوان یک ابزار تبدیل PDF ارائه می‌دهد. تجزیه و تحلیل فراداده بسته نشان می‌دهد که محیط‌های ساخت یکسانی وجود دارد که نشان می‌دهد این کمپین کار یک بازیگر تهدید واحد است. هنگامی که پروکسی فعال است، DOMOAuth2_ و IRAOAuth2.0 شروع به انتقال داده‌های ASP.NET Identity از طریق پروکسی محلی به زیرساخت خارجی می‌کنند. سرور C2 با قوانین مجوز پاسخ می‌دهد که سپس توسط برنامه پردازش می‌شود تا یک پشتیبانی پایدار با اعطای نقش‌های مدیر، اصلاح کنترل‌های دسترسی یا غیرفعال کردن بررسی‌های امنیتی ایجاد شود.


مشاهده مطلب اصلی