Admin
Администратор
Исследователи кибербезопасности обнаружили четыре вредоносных пакета NuGet, которые нацелены на разработчиков веб-приложений ASP.NET для кражи конфиденциальных данных. Эти пакеты были опубликованы в репозитории NuGet и успели собрать более 4 500 загрузок.
Пакеты NCryptYo, DOMOAuth2_, IRAOAuth2.0 и SimpleWriter_ были разработаны для кражи данных ASP.NET Identity, включая учетные записи пользователей, роли и разрешения. Они также создают бэкдоры в приложениях жертв, позволяя злоумышленникам получать административный доступ.
NCryptYo действует как первый этап атаки, устанавливая локальный прокси-сервер для передачи данных на сервер злоумышленников. DOMOAuth2_ и IRAOAuth2.0 крадут данные Identity, а SimpleWriter_ записывает вредоносные файлы на диск и выполняет их. Все пакеты были опубликованы одним пользователем и удалены после раскрытия информации. Одновременно был обнаружен вредоносный пакет npm под названием ambar-src, который загрузили более 50 000 раз. Этот пакет использует предустановочный скрипт для выполнения вредоносного кода на Windows, Linux и macOS. Вредоносное ПО собирает данные и передает их злоумышленникам через доверенные сервисы, такие как Yandex Cloud.
