Sicherheitsforscher haben eine anspruchsvolle Kampagne für ASP gestartet. NET-Anwendungsentwickler, die weit von der Suche nach lauten Infektionen auf Programmiererteams auf ein wertvolleres und stilles Ziel zielen: die Anwendungen, die diese Entwickler bauen. Laut dem von Sockel, vier böswillige Pakete in NuGet zwischen 12 und 21 August 2024 agierten zusammen, um ASP zu filtern. NET-Identitätsdaten und die Installation von dauerhaften Back-Türen in implementierten Anwendungen.
Die Pakete, veröffentlicht vom Profil Hamzazaheer sie erhielten mehr als 4.500 Downloads, bevor sie nach der verantwortlichen Offenlegung entfernt wurden. Ihre Namen - einschließlich Varianten wie NCryptyo, DOMOAuth2 _, IRAOAuth2.0 und Einfacher Schreiber _- verbergen Sie sehr unterschiedliche Verhaltensweisen: von einem "Dropper", der die Eingriffskette zu Komponenten aktiviert, die die Identitätstabellen, Rollen und Berechtigungen von ASP extrahieren. NET Identity und das akzeptieren Berechtigungsregeln, die vom Angreifer gesendet werden, um Privilegien zu gewähren.
Im Wesentlichen verwendet die Kampagne eine erste Stufe ausführbar eingebettet in einer der Pakete (NCryptyo), die aktiviert wird, wenn die Buchhandlung in die Anwendung geladen wird. Dieses Modul installiert Haken im .NET JIT-Compiler, um eine sekundäre Nutzlast zu entschlüsseln und bereitzustellen: ein lokaler Proxy, der in Lokalhost: 7152 und leitet den Verkehr auf einen Steuer- und Steuerserver um, dessen Richtung in der Ausführungszeit dynamisch aufgelöst wird. Durch diesen lokalen Tunnel, die anderen Pakete beginnen, sensible Informationen über Identitäten und Berechtigungen im Ausland zu senden; die Remote-Infrastruktur kann dann mit neuen Berechtigungsregeln reagieren, die die Anwendung verarbeitet, so dass der Angreifer administrative Konten erstellen oder Sicherheitskontrollen in Produktionsumgebungen deaktivieren.
Das als PDF-Umwandlungs-Dienstprogramm vorgestellte Paket, Einfacher Schreiber _, es beinhaltet störende Fähigkeiten des bedingungslosen Schreibens in Festplatte und versteckte Prozessausführung, so dass der Angreifer zusätzliche Ausführungsmöglichkeiten auf der Opfermaschine verlassen und starten Sie sie ohne sichtbare Fenster. Die Analyse von Metadaten und der Compilation-Umgebung deutet darauf hin, dass alle Pakete aus demselben Schauspieler stammen, da sie identische Konstruktionsdrucke teilen.
Es ist wichtig, den Vektor, mit dem er agiert wird, hervorzuheben: Es ist nicht nur beabsichtigt, den Arbeitsplatz des Entwicklers zu kompromittieren, sondern Umgang mit der Bewilligungsschicht während der Entwicklung zur Steuerung von Anwendungen. Wenn die Anwendung mit schädlichen Abhängigkeiten zur Produktion kommt, kann der Kanal zum C2 aktiv bleiben und weiterhin Berechtigungsdaten ausfiltern und Regeln erhalten, die administrativen Zugriff auf jede eingesetzte Instanz geben.
Diese Art von Angriff ist eine weitere Variation des breiteren Problems der Software-Versorgungskette: Komponenten von Drittanbietern, die harmlos erscheinen und in Projekte integriert sind, sind der Weg in kritische Systeme. Im Vergleich dazu meldete Tenable noch einen neuen Fall im npm-Ökosystem: ein Paket namens Ambar-Src die den Montagehaken ( Vorinstallieren) böswilligen Code unter Windows, Linux und macOS laufen und Ladegeräte herunterladen, die den Angreifer über den Remote-Zugriff verfügten. Spannbare Forschungsdetails, wie diese Installateure heruntergeladen und ausgeführte Binäre oder Skripte, die in verschiedenen Systemen von Shellcodes im Speicher eingesetzt, um Frameworks-basierte Agenten wie Mythic, und exfiltrierte Daten zu Domänen in Cloud-Diensten, um ihren Verkehr zu tarnen ( Ausschreibung)
Die Risiken sind klar: Wenn eine dritte Parteieinheit die Logik der Berechtigung ändern oder persistente Prozesse installieren kann, wird die Integrität der Anwendung und deren Nutzer beeinträchtigt. Für diejenigen, die sich mit ASP entwickeln. NET, es ist entscheidend zu verstehen, dass die Exfiltration in diesen Zwischenfällen auf die Objekte und Strukturen konzentriert, die Authentifizierung und Autorisierung verwalten - zum Beispiel die Tabellen und Systeme, die es verwaltet ASP.NET Identität- und dass das Vorhandensein von unzuverlässigen Code im Bauzyklus es dem Angreifer ermöglichen kann, diese Regeln von außen zu ändern.
Angesichts dieser Realität sollten Hygienepraktiken bei der Verwaltung von Einheiten und der Lieferkette gestärkt werden. Bewahren Sie eine Bestandsaufnahme von Komponenten und eine SBOM, validieren Sie die Quelle von unterzeichneten Paketen und bevorzugen unterzeichnete Artefakte, Audit- und Scaneinheiten mit spezialisierten Werkzeugen, isolieren die Bauprozesse und steuern den ausgehenden Verkehr von den CI / CD-Pipelines sind Maßnahmen, die die Angriffsfläche reduzieren. Darüber hinaus helfen niedrigere privilegierte Richtlinien in der Entwicklung und manuelle Überprüfung von Buchhandlungsänderungen, die mit Authentifizierungs- und Zugriffsregeln interagieren, Anomalien zu erkennen, bevor sie die Produktion erreichen. Um die Kontrollen und allgemeine Sicherheitsempfehlungen in der Lieferkette zu vertiefen, führen Agenturführer wie CISA Sie sind nützlich.
Weitere technische Ressourcen sind ebenfalls relevant: Microsoft bietet Dokumentation über die Unterzeichnung von Paketen und Best Practices, um Pakete in .NET-Umgebungen zu konsumieren ( Paketsignatur in NuGet), und Open-Source-Projekte und Security-Anbieter weiter zu verbessern Erkennungen für diese Verhaltensweisen. Darüber hinaus sind Forschung und Werkzeuge, die JIT-Hooks, verdächtige lokale Proxies oder Hinrichtungen zum Zeitpunkt der Belastung analysieren, zunehmend notwendig, um Muster wie die von Socket und Tenable beschrieben zu identifizieren.
Wenn Sie vermuten, dass Sie irgendwelche dieser Pakete oder andere unerwartet wirkende verwendet haben, betrachten Sie die Behandlung des Systems als potenziell gefährdet: es eliminiert die Abhängigkeiten, überprüft Protokolle und Berechtigungskonfigurationen, bricht Anmeldeinformationen und Geheimnisse, und führt eine forensische Analyse, wenn es Anzeichen von unberechtigtem Zugriff. Als technische und operative Mahnung beginnt oder endet die Sicherheit einer Anmeldung nicht in ihrem Quellcode: die Buchhandlungen und der Prozess, mit dem sie zu Ihrem Projekt kommen Materie so viel wie der Code, den Sie schreiben.
Die Community- und Paketplattformen sind aufmerksam und reagieren durch die Beseitigung von schädlichen Artefakten, aber Erfahrung zeigt, dass vorentfernende Downloads Anlagen in zahlreichen Repositorien und Pipelines verlassen können. Daher ist es wichtig, dass Entwicklungs-, Betriebs- und Sicherheitsteams zusammenarbeiten, um Bedrohungen in der Lieferkette zu identifizieren und zu mildern, bevor sie die Produktion erreichen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...