إصابة مطوري NET. ببرامج ضارة من نوع Crypto-Stealing

الحزم المصابة:

عادة ما تنتشر الحزم الضارة من خلال مستوداعات حزم (NPM ،PyPI)، مع تأثر عدد قليل من المستودعات الأخري، حيث لم يكن يوجد نشاط ضار علي حزم NuGet من قبل، و يراقب فريق البحث الأمني JFrog مستودع NeGet بإنتظام بحثاً علي الحزم الضارة والقيام بتحليلها والإبلاغ عنها.

تعمل البرامج الضارة المدمجة مع الحزم كبرامج نصية تقوم بتشغيل أوامر بأستخدام PowerShell ويقوم بأستدعاء أكواد أخري من خلال خادم ثابت، وكآلية لعمل تضليل وتشويش لم يتم تضمين البرامج الضارة مع الحزم ولكن يتم إحضارها عبر حزم أخري، علي إفتراض الحزم الأخري تلك أنها من المتطلبات "dependencies".

والأمر الأكثر إثارة في الموضوع أن الاتصال بالخادم يتم عن طريق أستخدام بروتوكول HTTP، وهذا ما يجعله عرضه لهجوم Adversary-in-the-middle (AiTM).

ما هو هجوم Adversary-in-the-middle؟

هو نوع من القرصنة ولكنه معقد، يسمح للمهاجمين بحقن أنفسهم في الأتصالات التي تتم علي الشبكة، وسرقة الـ credentials ومفاتيح التشفير والتحقق من الهوية، و شن العديد من الهجمات لسرقة البيانات والأموال.

لا يزال مطوري NET. الذين يستخدمون NuGet معرضين لخطر كبير من التعليمات البرمجية الضارة التي تصيب بيئاتهم ويجب عليهم توخي الحذر عند إستخدام مستودعات مفتوحة المصدر لاستخدامها في بيئاتهم.

كيفية تجنب مثل هذه الحزم:

1. يجب عليك عزيزي القارئ أن تحذر من مسميات الملفات التي تقوم بتنزيلها.
2. إستخدام كاشف للبرمجيات الخبيثة و فحص الملفات التي تشتبه بها.

وفي نهاية الختام، أرجو أن يستفيد كل من يهمه هذا الموضوع بهذا المقال، وإن تمت الإستفادة لا تبخل بالأفادة، وأن تشاركنا برأيك في التعليقات، دمتم في سلام. 

Resources:

NuGet Gallery | Home

Attackers are starting to target .NET developers with malicious-code NuGet packages | JFrog

What is an Adversary-In-The-Middle (AiTM) Phishing Attack? - 1Kosmos

Rogue NuGet Packages Infect .NET Developers with Crypto-Stealing Malware (thehackernews.com)