Descobertos pacotes maliciosos NuGet que visam developers .NET

Foi descoberto um novo ataque a visar developers .NET com pacotes maliciosos carregados no repositório NuGet, segundo os investigadores do JFrog. O NuGet permite que os developers criem pacotes de código utilizando a aplicação de cliente NuGet e os publiquem em repositórios públicos ou privados.

Esta é a primeira vez que os investigadores observam atividades maliciosas graves no NuGet, além de pacotes projetados para espalhar links de phishing. O incidente, contudo, alinha o NuGet com os repositórios NPM e PyPl, que são alvo de cibercriminosos com frequência, com pacotes maliciosos submetidos ao repositório com código que desencadeia o download de um second-stage payload. 

Como parte do ataque, o typosquatting foi utilizado para enganar os developers a descarregar os pacotes maliciosos. A operação foi muito bem-sucedida com cerca de 150 mil downloads acumulados antes dos pacotes serem removidos do NuGet.

Entre os pacotes, os atacantes incluíram um script PowerShell executado com a instalação do pacote. O script mudou a configuração do sistema para que os scripts pudessem ser executados sem restrições e depois uma payload secundária de um servidor remoto. A payload – um ficheiro executável Windows – foi projetado para roubar criptomoedas, extrair e executar código dos arquivos Electron e baixar um pequeno executável que garante que o malware está atualizado. 

Para realizar o ataque, os cibercriminosos aproveitaram-se de uma configuração das versões mais antigas do Visual Studio, em que os scripts podem ser colocados no diretório de ferramentas de um pacote NuGet para executá-los automaticamente sem restrições em eventos específicos.

“Esses tipos de mecanismos de execução automática são uma grande razão pela qual podemos encontrar milhares de pacotes maliciosos que assolam os ecossistemas NPM e PyPI em comparação com o ecossistema de pacotes Go, por exemplo, no qual o cliente não fará com que o código seja executado automaticamente quando um módulo for instalado. O código do atacante tem muito mais probabilidade de ser executado se apenas a instalação do pacote for necessária para o acionar”, indicam os especialistas da JFrog.

Os investigadores identificaram 13 pacotes maliciosos. O mais popular deles, o Coinbase.Core tinha mais de 120 mil downloads quando foi removido do repositório, o segundo mais popular, o Anarchy.Wrapper.Net tinham mais de 30 mil downloads e, em terceiro lugar, o DiscordRichPresence.API tinha mais de 14 mil. 

“Os três principais pacotes foram baixados uma quantidade incrível de vezes – isso pode ser um indicador de que o ataque foi altamente bem-sucedido, infetando uma grande quantidade de máquinas. No entanto, este não é um indicador totalmente confiável do sucesso do ataque, uma vez que os atacantes poderiam ter aumentado automaticamente a contagem de downloads (com bots) para fazer com que os pacotes parecessem mais legítimos”, observa a JFrog.