Sicherheitsforscher haben vier manipulierte NuGet-Pakete aufgedeckt, die ASP.NET-Entwickler ins Visier nehmen und sensible Daten stehlen. Parallel wurde ein schädliches npm-Paket mit über 50.000 Downloads entdeckt.
Die Cybersicherheitscommunity hat eine umfangreiche Kampagne zur Kompromittierung von Entwicklertools aufgedeckt. Das Sicherheitsunternehmen Socket entdeckte vier manipulierte NuGet-Pakete, die speziell auf ASP.NET-Webentwickler abzielen. Die zwischen dem 12. und 21. August 2024 veröffentlichten Pakete wurden von einem Benutzer namens hamzazaheer hochgeladen und konnten vor ihrer Entfernung über 4.500 Downloads verzeichnen.
Die Angreifer setzten auf eine mehrstufige Strategie: Das Paket NCryptYo fungiert als Einstiegspunkt und installiert einen lokalen Proxy auf Port 7152, der den Datenverkehr zu einem externen Command-and-Control-Server weiterleitet. Dabei tarnt sich das Paket geschickt als legitimes NCrypto-Programm. Die beiden Pakete DOMOAuth2_ und IRAOAuth2.0 stehlen daraufhin ASP.NET-Identity-Daten wie Benutzerkonten und Berechtigungen und infiltrieren die Anwendung mit einer persistenten Hintertür. SimpleWriter_ präsentiert sich dagegen als PDF-Konverter und ermöglicht unkontrolliertes Schreiben von Dateien sowie verborgene Prozessausführung.
Wie der Sicherheitsforscher Kush Pandya erläutert, wirken die Komponenten nur zusammen: Sobald alle vier Pakete installiert sind, beginnt NCryptYo mit JIT-Compiler-Hooks, die eingebettete Payloads entschlüsseln. Der lokale Proxy verbindet dann die Pakete mit der externen Infrastruktur. Der C2-Server antwortet mit manipulierten Autorisierungsregeln, die der Angreifer zur Vergabe von Admin-Rechten nutzt. In der Produktionsumgebung funktioniert diese Hintertür unabhängig weiter und exfiltriert kontinuierlich Zugriffsdaten.
Die Taktik ist besonders tückisch: Das Ziel besteht nicht in der Kompromittierung der Entwicklermaschine selbst, sondern in der Sabotage der damit erstellten Anwendungen. Wer diese mit den manipulierten Abhängigkeiten deployt, gibt Angreifern unbegrenzten Zugriff auf seine produktiven Systeme.
Parallel dazu meldet Tenable die Entdeckung des schädlichen npm-Pakets ambar-src, das vor der Entfernung über 50.000 Downloads erreichte. Das am 13. Februar hochgeladene Paket nutzt npm’s Preinstall-Script-Hook, um während der Installation Malware auszuführen. Die Software lädt je nach Betriebssystem unterschiedliche Payloads von der Domain “x-ya[.]ru” herunter und zielt damit auf Windows-, Linux- und macOS-Systeme ab.
Nach der Datensammlung werden die Informationen zu Yandex-Cloud-Servern übertragen – eine Strategie, die legitimen Traffic imitiert und es Unternehmens-Firewalls schwer macht, die Kommunikation zu blockieren. Ambar-src ist eine fortgeschrittene Variante des kürzlich von JFrog gekennzeichneten Pakets eslint-verify-plugin, das Mythic-Agenten auf Linux- und macOS-Systemen absetzte.
Tenable warnt eindringlich: Computersysteme mit diesem Paket sind vollständig kompromittiert. Allein das Löschen des Pakets garantiert nicht die Beseitigung aller Malware-Komponenten, falls externe Angreifer bereits vollständige Kontrolle erlangt haben.
Quelle: The Hacker News