Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Злонамерни NuGet пакети краделе ASP.NET податоци; npm пакет дистрибуирал малициозен софтвер

Објавено: 26.02.2026

Истражувачи за сајбер-безбедност откриле четири злонамерни NuGet пакети дизајнирани да таргетираат развивачи на ASP.NET веб апликации за кражба на чувствителни податоци.

Кампањата, откриена од Socket, ги ексфилтрира ASP.NET Identity податоци, вклучувајќи кориснички сметки, доделени улоги и мапирања на дозволи, а исто така манипулира со правила за авторизација за создавање перзистентни backdoor механизми во жртвените апликации.

Имињата на пакетите се:

  • NCryptYo
  • DOMOAuth2_
  • IRAOAuth2.0
  • SimpleWriter_

NuGet пакетите биле објавени во репозиториумот помеѓу 12 и 21 август 2024 година од корисник со име hamzazaheer. Подоцна биле отстранети по одговорно пријавување, но не пред да соберат повеќе од 4.500 преземања.

Според компанијата за безбедност на синџирот на софтвер, NCryptYo делува како dropper од прва фаза кој воспоставува локален прокси на localhost:7152 и го пренасочува сообраќајот кон командно-контролен (C2) сервер под контрола на напаѓачот, чија адреса се добива динамички при извршување. NCryptYo се обидува да се маскира како легитимниот пакет NCrypto.

DOMOAuth2_ и IRAOAuth2.0 крадат Identity податоци и создаваат backdoor во апликациите, додека SimpleWriter_ има можност за пишување на датотеки без ограничувања и извршување процеси, претставувајќи се како алатка за конверзија во PDF. Анализата на метаподатоците покажала идентични build околини, што укажува дека кампањата е дело на еден заканувачки актер.

„NCryptYo е dropper од прва фаза кој се извршува при вчитување,“ изјави истражувачот Куш Пандија. „Кога се вчитува assembly-то, неговиот статички конструктор инсталира JIT hooks кои декриптираат вградени payload-и и инсталираат бинарна компонента од втора фаза – локален прокси на портата 7152 што пренесува сообраќај помеѓу придружните пакети и надворешниот C2 сервер, чија адреса се решава динамички.“

Откако проксито ќе стане активно, DOMOAuth2_ и IRAOAuth2.0 започнуваат да ги пренесуваат ASP.NET Identity податоците преку локалниот прокси до надворешната инфраструктура. C2 серверот враќа правила за авторизација кои потоа апликацијата ги процесира, создавајќи перзистентен backdoor преку доделување администраторски улоги, менување на контролите за пристап или оневозможување на безбедносни проверки. SimpleWriter_, пак, запишува содржина под контрола на напаѓачот на диск и го извршува бинарниот фајл со скриени прозорци.

Не е сосема јасно како корисниците се измамени да ги преземат овие пакети, бидејќи синџирот на напад започнува само откако сите четири се инсталирани.

„Целта на кампањата не е директно да се компромитира машината на развивачот, туку да се компромитираат апликациите што ги градат“, објасни Пандија. „Со контролирање на слојот за авторизација за време на развојот, заканувачот добива пристап до производствените апликации.“

„Кога жртвата ќе ја распореди својата ASP.NET апликација со злонамерните зависности, C2 инфраструктурата останува активна во продукција, континуирано ексфилтрирајќи податоци за дозволи и прифаќајќи модифицирани правила за авторизација. Заканувачот или купувачот потоа може да си додели администраторски пристап до секоја распоредена инстанца.“

Објавата доаѓа откако Tenable откри детали за злонамерен npm пакет наречен ambar-src кој собрал повеќе од 50.000 преземања пред да биде отстранет од JavaScript репозиториумот. Бил поставен на npm на 13 февруари 2026 година.

Пакетот користи npm preinstall script hook за да активира извршување на злонамерен код содржан во index.js за време на инсталацијата. Малициозниот софтвер извршува едноредна команда која презема различни payload-и од доменот „x-ya[.]ru“ во зависност од оперативниот систем:

  • На Windows, презема и извршува датотека msinit.exe која содржи енкриптиран shellcode, кој потоа се декодира и се вчитува во меморијата.
  • На Linux, презема bash скрипта која потоа повлекува друг payload – ELF бинарен фајл кој работи како SSH reverse shell клиент.
  • На macOS, презема скрипта која користи osascript за извршување JavaScript кој инсталира Apfell, JavaScript agent од Mythic C2 framework, способен за извидување, собирање слики од екранот, кражба на податоци од Google Chrome и собирање системски лозинки преку лажен prompt.

„Користи повеќе техники за избегнување детекција и дистрибуира open-source малициозен софтвер со напредни можности, таргетирајќи развивачи на Windows, Linux и macOS системи“, соопшти компанијата.

Откако податоците се собрани, тие се ексфилтрираат кон напаѓачот преку домен на Yandex Cloud со цел да се маскира сообраќајот како легитимен и да се искористи фактот дека доверливите сервиси поретко се блокираат во корпоративни мрежи.

ambar-src се смета за поусовршена варијанта на eslint-verify-plugin, друг злонамерен npm пакет кој неодамна беше означен од JFrog како дистрибутер на Mythic агенти Poseidon и Apfell на Linux и macOS системи.

„Доколку овој пакет е инсталиран или работи на компјутер, системот мора да се смета за целосно компромитиран“, соопшти Tenable. „Иако пакетот треба да се отстрани, имајте предвид дека надворешен актер можеби стекнал целосна контрола над компјутерот, па отстранувањето на пакетот не гарантира елиминација на целиот злонамерен софтвер.“

Извори:

  • The Hacker News – Malicious NuGet Packages Stole ASP.NET Data; npm Package Dropped Malware The Hacker News