概要
悪意のあるNuGetパッケージが、ASP.NETプロジェクトを標的とし、認証情報やアクセス権限データを盗み出す攻撃が発生しています。これらのパッケージは、開発者が利用する正当なユーティリティとして偽装され、ローカルホストプロキシを通じてアプリケーションにバックドアを設置します。
攻撃の詳細
Socketの脅威研究チームは、4つの相互に関連するパッケージ(NCryptYo, DOMOAuth2_, IRAOAuth2.0, SimpleWriter_)を使用したNuGetサプライチェーン攻撃を発見しました。これらのパッケージは、ASP.NET開発者向けのウェブアプリケーションを開発している人々を標的としています。
NCryptYo
NCryptYoは、正当なNCryptoパッケージのタイポスquatting(意図的な似せ技)を行い、実際の暗号化ルーチンではなく、オブフォスケーションされたドロッパーを提供します。このパッケージがプロジェクトに参照されると、アセンブリが読み込まれたときに静的コンストラクタが実行され、JITコンパイルホークと2段階のバイナリーをインストールします。
DOMOAuth2_ と IRAOAuth2.0
DOMOAuth2_とIRAOAuth2.0は、ASP.NET Identity認証フローに直接統合され、ユーザーGUIDやロールIDなどの敏感な認証情報とアクセス権限データを盗み出します。これらのパッケージは、ハードコードされた攻撃者の資格情報を使用して、ローカルホストプロキシ(https://localhost:7152)を通じて外部コマンドアンドコントロールインフラと通信します。
SimpleWriter_
SimpleWriter_は、HTMLからPDFへの変換を装って、ファイルの書き込みやプロセス実行機能を提供します。このパッケージは、ローカルホストプロキシにビーコンを送信し、任意のコンテンツをディスクに書き込むとともに、wkhtmltopdf.exeという隠れたプロセスを起動します。
脅威の影響
これらのパッケージがインストールされたASP.NETアプリケーションは、攻撃者が任意で管理者権限を付与したりアクセスルールを変更したりできるようになります。これは開発者端末だけでなく、生産環境でも継続的に機能します。
対策
- NuGetパッケージの信頼性を確認する。
- 最新のセキュリティアップデートを適用する。
- 開発環境と生産環境で異なる資格情報を使用する。