The Hacker Newsは4月11日(米国時間)、「 Cryptocurrency Stealer Malware Distributed via 13 NuGet Packages」において、暗号資産を窃取するマルウェアの配布に悪意のあるNuGetパッケージが使われていたと伝えた。13の悪意のあるNuGetパッケージにマルウェアが含まれていたことが明らかとなった。
高度なタイポスクワッティングキャンペーンが発見された。このキャンペーンの主な標的は.NET開発者とされ、正規のパッケージになりすまし、ハードコードされたサーバからマルウェアを取得するよう設計された悪意のあるPowerShellスクリプトがインストール時に実行されることが判明している。
PowerShellスクリプトの実行後、第2段階の攻撃として「Impala Stealer」と呼ばれる、ユーザーの暗号通貨アカウントに不正にアクセス可能な.NETベースの永続的なバックドアが展開されることが確認されている。このペイロードは「.NET AoTコンパイル」と呼ばれる非常に珍しい難読化技術が使われ、高いステルス性を持ち、リバースエンジニアリングが困難なバイナリになっていると分析されている。
Impala Stealerが含まれていたとされる悪意のあるNuGetパッケージは次のとおり。
- Coinbase.Core
- Anarchy.Wrapper.Net
- DiscordRichPresence.API
- Avalon-Net-Core
- Manage.Carasel.Net
- Asip.Net.Core
- Sys.Forms.26
- Azetap.API
- AvalonNetCore
- Json.Manager.Core
- Managed.Windows.Core
- Nexzor.Graphical.Designer.Core
- Azeta.API
.NET向けのNuGetだけでなく、Python向けのPyPI、Node.js向けのNPMなどのパッケージマネージャがマルウェアの配布に悪用され、開発者が標的にされるサイバー攻撃が増加している。どのオープンソースソフトウェアリポジトリも完全に安全ではないということを認識するとともに、サードパーティ製のパッケージを使用する際は対象とするパッケージが正規のものであるか注意深く確認することが求められている。