Вредоносные пакеты NuGet эксплуатируют уязвимость MSBuild: новая волна атак

information security

Компания ReversingLabs обнаружила масштабную вредоносную кампанию, связанную с пакетами в менеджере NuGet, которая активно развивается с начала августа. Исследователи выявили связь между сотнями подозрительных пакетов и ранее зафиксированной атакой, о которой сообщала компания Phylum. Новые данные указывают на то, что злоумышленники не только продолжают атаки, но и адаптируют свои методы, делая их более изощренными и сложными для обнаружения.

Описание

Изначально вредоносные пакеты использовали относительно простые методы, такие как загрузка и выполнение скриптов в процессе установки. Однако теперь злоумышленники перешли к более сложной тактике, эксплуатируя интеграцию NuGet с MSBuild - инструментом сборки проектов от Microsoft. Это позволяет вредоносному коду маскироваться под легитимные процессы сборки, что значительно усложняет его выявление системами безопасности.

MSBuild - это мощный инструмент, который автоматизирует процесс компиляции и развертывания программного обеспечения. Вредоносные пакеты, используя его функционал, могут выполнять произвольный код на этапе сборки проекта, что делает их особенно опасными. Поскольку MSBuild является стандартным компонентом экосистемы .NET, подобные атаки могут оставаться незамеченными даже при тщательном анализе зависимостей.

ReversingLabs отмечает, что злоумышленники оперативно реагируют на действия защитников: как только их предыдущие методы блокируются или становятся слишком заметными, они переключаются на новые техники. В данном случае переход к эксплуатации MSBuild демонстрирует высокий уровень адаптивности киберпреступников.

Эксперты рекомендуют разработчикам проявлять повышенную осторожность при использовании сторонних пакетов из NuGet. Особое внимание следует уделять проверке источников зависимостей, анализу их содержимого и мониторингу активности во время сборки проектов. Кроме того, важно регулярно обновлять инструменты разработки и системы безопасности, чтобы минимизировать риски подобных атак.

Данный инцидент в очередной раз подчеркивает, что угрозы в сфере открытого ПО и пакетных менеджеров продолжают эволюционировать. Злоумышленники ищут новые способы обхода защитных механизмов, а их кампании становятся все более изощренными. В таких условиях ключевым элементом защиты остается осведомленность разработчиков и своевременное реагирование на новые угрозы.

ReversingLabs продолжает мониторинг ситуации и планирует опубликовать более детальный отчет о методах, используемых злоумышленниками, а также рекомендации по защите от подобных атак. Пока же компания призывает сообщество разработчиков .NET быть бдительными и сообщать о любых подозрительных пакетах в официальные репозитории.

Индикаторы компрометации

SHA1

  • 00d153ba2f6bbe0be3c67096565f07ce66cbe2e8
  • 0170734a8a42976aa20cbc09e999433c1aabed9b
  • 03d5532e39357ec0422614a7913e2a426beb0730
  • 0706311de6caa47ee4febb54e8aa7e57290281d2
  • 0979601ec510bf0c48563a63391a941fa62133b3
  • 0c050ea1afbe29f1c4126b778d8ea640f15a9301
  • 0f88db4448334cf5bb75542a955475f42dca004d
  • 1044dc4fccab73c8d238b5d4505adc67b977dcb4
  • 109c09147586389ba45b7761fd83ec88841e4d59
  • 11ebf1f7a6c974915ac1575bbcc13d26ca8baa0f
  • 12dbb19aa8059f0c73a689db48bc86dcff757d3d
  • 14af9c50437f4894a44325a6dd45f12ea52c8247
  • 16d256f3daf8982ea5a3d7cb469dfd824b5f4f9c
  • 194e0a759a52371c69af70ff98dd0d25ec44e69f
  • 1bb64c3b078440c7bf7f3130bfa1e0f64fb56e71
  • 1c03781c4033d160dabe18bcc38504ef21eb56a8
  • 1ccec9016788bdacae3635eab81a322258f314a9
  • 1d369efe94859986f549ae0ecde92750fd3e147f
  • 1d72719509f2f2a6852bb001ad6b52a38489c09d
  • 1ddff92c47b04502fe2d5a6e0a87545cc8e4df54
  • 1f3f9b4188ecf54a997a7d51ec8e21dbd3165df5
  • 23f2faf65e8b0d024a1f9cca80c42c56c62e8184
  • 247ad37694ea0eaaf93ee9eaffda22703b0653b4
  • 250091edab3a9ec2f5d207b174677900f874aaad
  • 28985a918ff7b537daa912c49d7f907e6e82a104
  • 2a09ef73b8e6e28ffee0aa2daf9e8a1905d389f4
  • 2a22fa4277644bf07a4b92575248cf4b931e8614
  • 2b76e606281d33cb88de47e68a9e456a7c03ab8b
  • 2cab3c7e4781bd5f0e35d40c4382ad0ebad3ebb4
  • 2d81de5fe1c88cd5b732deb04e449d13ce60072e
  • 34f7c52873404ca899733d95899c5b8cf1d76db6
  • 390afcb6201d1d6ef85dbac9ca472d7f3d19628b
  • 39f5dfd63237530abe5d1e8f418f739992d0d766
  • 3fc3056ac2736278aa11c8deaad012d9a8e9de3b
  • 3ffe89ee4b7a3cb9184ffe84aa0279c91b5b8dca
  • 40145b10a331be75a7d77577f4577e83e81117a6
  • 413c8f589aea0a1295f0dfb481f741eb3d7aa744
  • 45d715d7597cfaa043b7532efc71f69209d15a51
  • 47896d0cf5c8d10bd03b57d1d1f5005b1f67cdd9
  • 48dfbe8ceb801a556255841e1270bd1f55132572
  • 4bf3e03363d0e59051d22fdd2e498c02dfb19dd0
  • 50e5192337e5b8df41a31bc8daead884e7838d82
  • 519767ceb3af15336f8ecfcc09d5ba9237a9ff9d
  • 5409be191e8cec6edaf111a5481b62ecd80205c7
  • 5702153b0b44071d916f099d75155f1867d80e4a
  • 5798a6be7106029a2f6fca860dbfd96e3caa601d
  • 5f7f882c59e31e7d83129d0a09579b47fd931be0
  • 62f6a2715a379468bbc38b28066e7bda2137fd98
  • 64d257ba67db909446007944fe8d4c145c3b4f03
  • 67508b2a6cfa6532994e30f8924a1f2566c32f20
  • 679875b3bc415fb81f83919f7ecc6f226b372dde
  • 68ae280dd3c7b0caa0f5aac3128fc924cc24ab32
  • 69738f031300662f2cfc034b3f290953918c467b
  • 6ee07eb39946ce546f7a96645affa12e568c47ab
  • 7026a7f2b50bd4999927b59e58a18601891ecfc6
  • 708e16fee69655dd0ee0ee60220c6395779b0070
  • 72fe525e541fca4b7766d05bd0d0162c32002fa1
  • 73e8cf24d205e6800a448f292cb90dd845f109f8
  • 75361acfb735c1c46f073b7142d66cc944f37bef
  • 7987192d807124f8a4c5c45399dff7b77349a6cb
  • 79c52e34bdbbe00fb54f3c78817223436596b1c4
  • 7e4b02793685f3835231c46ea60c767c84b13366
  • 7fbcfa699b56e55d2089294a1edd61cd55cbae61
  • 8123f5fab4cc5acfaee5f419b1efba52a69ac456
  • 83f9fb69c198e24ae67f67871269b088053285c0
  • 853254467e9667efab60ed800f0a5021232a8c83
  • 8950d150f8f7ad70accb928e792e114bfdb22719
  • 8a1d7189b2e4547ab730397fe1e95898474c1f41
  • 8ab0b3b437fa3aaecd89eaa4681d56eb4990cb06
  • 922bb97ba1bff39324f79daf305fb021bf42246c
  • 9490bf38a151fc0f3b99d940bb04359792862e95
  • 95ec7567218829bc95d4b10d546186116b477ad8
  • 96aa8d35910118e51eb962c5b6a5f64e9c3f8f99
  • 993d0f3594b217573b504d5f190670d480d386b9
  • 9cfb17c19ea29dba6a4dfb4281633660c74f6cf0
  • 9e59ca377199ddd839de785cf2dff73aa6670144
  • 9f57f74b0d586c74c3602de6ef404b76997d4785
  • a11ac467846b4e3e541b74d6d59ec8d5e6fcbb6f
  • a405145005cee5823de3531f4c66631d7c4e0033
  • a45b7b2f73864dcc50993cab9465081f6974094b
  • a4c3569b076113b4d1258c7210cb3c5a242659cc
  • ac9043342bfcab56689bff96bd5d8a03ba7c37c4
  • ae9fd408f32bddddd54329e641984ce7e2ca4310
  • b4e6deceabaef67d64865cbe6197397dec420a86
  • b548221b4fadcf00bde6567eea11189e0719a812
  • b604a24356f337f9d6806bc328d9980ea7020eed
  • b6a2589eade5649b6ad41237a38d1547634a4148
  • b7dadebdd6c4b4c978a733fb1ae31857896701ad
  • bae28ac375dc5b89d0be371f0d4421abe17bde84
  • c03b21f48cf80e5cd9ee89e254d6327d74f5c8fb
  • c0f04c7b015cff331921b7996f66a762a430e76a
  • c11f384c065a51871155a1a59e77f69d49daad15
  • c19e63c685b85bc50b0bc6a8124f19d1c3d4a0f0
  • c4b2077af263b72b9e90c815b13e505fe2026e47
  • c6d6e5f66f50793bee955a6abd3ece7a1e0c3eac
  • c6f7dc7f9e2a5447f966f582d4fe41869ee07275
  • c6ff26c0670806aa80d7f1d5bc7d662b263b1124
  • cdda2b33879b3e2d028b3099cc7e885501c8e00d
  • d014e8287dd2430386cadeb5fcea324dff82ce10
  • d056eb9d74c250b337be8b239dfdef55ef78d56a
  • d05d1aa8f90e145cda664a3b8823482c1e0a0e92
  • d18e6074b797bcf80d0a203fc9c278eeaded44b9
  • d2832302dc687e260354be8143c69fc90144dc9b
  • d46c0641697e18011bd084cb62110ffc394b9ae8
  • d52d9ad3a258ac47b33c58320303f65e0a366cd3
  • d64b2da8fcc14c51d707acebbd4ebcf93eb55fd9
  • d716dda6b465e16222287f1973454fc6daa62c66
  • d72534b14f5fedcdca0629367f9b93af92bd6bd5
  • d81a7608a97b44af04157dd9086c4e2e46c93369
  • d959ac811872fde62386725456a937b943e236ee
  • d9e517e2dc0f54c99727a0f17df9b241a2a1aabc
  • db57c5769ac4997c6d6cc06009b0c19864cd6886
  • dcfb36931677d0860e62552e35f1d67a5d77e2a1
  • dd00638e3a9201d645d96a97d0ebe58b73da5fef
  • de67e07596ccfb2257675b8d4d1d092a86d8d855
  • dfbb6853f84d78f989deba3235cef26f51fd4d70
  • e33ec6d268711f7b882c00c568002c27ef995bfc
  • e5225a52fa7ca6f5f2581bbb6db54a0ae9e5d529
  • e54ec3cbc36f4ee0832aa231df2de893d4329546
  • e7d54ba61fe291d8ea862ce7a23b9c3cd8e8f988
  • ec5bd0c43eef8a94b340e64cf6e649d65b9a9d90
  • ed6e7868bfab896663c91a4b242dac93943c2d19
  • f0220fdc65fe5a4be3cf67b9d2eea44c79473117
  • f182a3c99fc568d4ebcf22fd7d558d93bd00c7c7
  • f1acc14265a44ea98d5539885329e36a9c8bbd5b
  • f1b54fa7dc92998d82f7453f7c41e31d86288c18
  • f1ccafe37c8b84f83d1954b9ae438d7cf0eec42a
  • f30b9cb625fde948fc00724a370a4420e1426732
  • f3dd64b8314afab0d47f0859c6346b97670514b1
  • f474da140a91aca8eb75084b8af0580a2a5f9f9c
  • f5e8e315fc6a0cd7cb452859e492ed45da6c932f
  • f9549c90de2134e2540aa44a043ed61fa202f9e5
  • fa7063ab77cc0bc40ebaef5716024174a2d8dbef
  • fabac069323a7521c37052c55c2abb0a7c28ee0a
  • fae0697f55d9244980bffdf65216f98961153953
  • fdc40bf0a0b372358767670e7b9e518c8208962d
  • fe30654a7947c337a6718679df8ee436da7f8e0e
  • ff0990ce50448be5f19c89d4ac2d18714facb566
  • ff9d0e9f91e9837069c302539747fd1a1f2140c3
Комментарии: 0