Обнаружены вредоносные NuGet-пакеты, крадущие данные ASP.NET и создающие бэкдоры

Специалисты по кибербезопасности выявили четыре вредоносных NuGet-пакета, нацеленных на разработчиков веб-приложений на платформе ASP.NET. Эти пакеты используются для кражи конфиденциальных данных и внедрения устойчивых механизмов обхода авторизации в приложениях жертв.

Вредоносная кампания, обнаруженная исследователями из компании Socket, направлена на извлечение информации из ASP.NET Identity — ключевого компонента управления учетными записями пользователей, ролями и правами доступа. Злоумышленники получают доступ к данным о пользователях, их ролях и назначениях разрешений, а также изменяют правила авторизации, чтобы создать постоянные бэкдоры, позволяющие сохранять контроль над приложением даже после обнаружения и удаления вредоносного кода.

Для организаций, управляющих внешней поверхностью атаки, данное событие представляет серьёзную угрозу. ASP.NET широко используется для создания корпоративных веб-сервисов и приложений, и компрометация системы управления идентификацией может привести к масштабным утечкам данных и несанкционированному доступу к критическим ресурсам. Вредоносные пакеты, распространяющиеся через официальные репозитории, усложняют задачу обнаружения и предотвращения атак, поскольку разработчики часто доверяют библиотекам из NuGet и не всегда проводят тщательную проверку их содержимого.

Для команд информационной безопасности важно учитывать следующие рекомендации:

• Регулярно проверять используемые зависимости на наличие известных уязвимостей и подозрительных изменений.
• Внедрять процессы контроля целостности и верификации пакетов, включая использование подписей и проверку источников.
• Ограничивать права доступа компонентов приложения, минимизируя возможности для изменения правил авторизации без дополнительной проверки.
• Проводить аудит и мониторинг активности в системах управления идентификацией, чтобы своевременно выявлять аномалии и попытки несанкционированного доступа.
• Использовать платформы внешнего управления поверхностью атаки (EASM) для обнаружения и анализа потенциально опасных компонентов и зависимостей в используемых приложениях.

Данная ситуация подчёркивает необходимость комплексного подхода к безопасности цепочек поставок программного обеспечения и постоянного мониторинга внешних компонентов, чтобы своевременно выявлять и нейтрализовать угрозы, исходящие из официальных репозиториев библиотек.