One Article Review
Accueil - L'article:
Source RiskIQ.webp RiskIQ
Identifiant 8540000
Date de publication 2024-07-19 03:25:01 (vue: 2024-07-19 04:10:58)
Titre La campagne de Nuget malveille
Malicious NuGet campaign uses homoglyphs and IL weaving to fool devs
Texte ## Instantané Les chercheurs en inversion deslabs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et des tisser pour tromper les développeurs.Initialement, ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes à l'aide de tissage Il, puis exploité les intégrations MSBuild de NuGet \\ pour assurer l'exécution du code malveillant lors des constructions de projet. ## Description RenversingLabs a suivi la campagne malveillante ciblant Nuget depuis août 2023. Utilisant initialement des scripts PowerShell, les attaquants ont déménagé pour injecter un initialiseur de module et des téléchargeurs malveillants en binaires .NET légitimes via le tissage Il, une technique modifiant le code après la compilation.Les acteurs de la menace ont également usurpé l'identité du package légitime "guna.ui2.winforme" en modifiant le code et en le publiant comme "gSO A.UI3.wi-nf օ rms ", exploitant un nom de préfixe réservé sur le référentiel NuGet. Les chercheurs de réversion deslabs ont identifié environ 60 packages et 290 versions de package dans le cadre de cette campagne, qui ont été supprimées de la plate-forme NuGet. Cette campagne a mis en évidence de nouvelles techniques telles que BinaryLe correctif des DLL et l'utilisation d'homoglyphes dans les attaques de typosquat. ## Les références [La campagne de Nuget malveillante utilise des homoglyphes et il tissage pour tromper les développeurs] (HTTPs: //www.reversingLabs.com/blog/malicious-nuget-campaign-uses-homoglyphs-and-il-waving-to-fool-devs).Inversion des laboratoires (consulté en 2024-07-18) ## Droits d'auteur **&copie;Micro-microOsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot ReversingLabs researchers found a malicious NuGet campaign where threat actors used homoglyphs and IL weaving to deceive developers. Initially, they inserted obfuscated downloaders into legitimate PE binary files using IL weaving, and later exploited NuGet\'s MSBuild integrations to ensure execution of malicious code during project builds. ## Description ReversingLabs has tracked the malicious campaign targeting NuGet since August 2023. Initially using PowerShell scripts, attackers moved to injecting a module initializer and malicious downloaders into legitimate .NET binaries via IL weaving, a technique altering code post-compilation. The threat actors also impersonated the legitimate "Guna.UI2.WinForms" package by modifying the code and publishing it as "Gսոa.UI3.Wіnfօrms", exploiting a reserved prefix name on the NuGet repository. ReversingLabs researchers identified approximately 60 packages and 290 package versions as part of this campaign, all of which have been removed from the NuGet platform. This campaign highlighted new techniques such as binary patching of DLLs and the use of homoglyphs in typosquatting attacks. ## References [Malicious NuGet campaign uses homoglyphs and IL weaving to fool devs](https://www.reversinglabs.com/blog/malicious-nuget-campaign-uses-homoglyphs-and-il-weaving-to-fool-devs). Reversing Labs (accessed 2024-07-18) ## Copyright **© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibited.
Notes ★★★
Envoyé Oui
Condensat **© 2023 2024 2024** 290 accessed actors all also altering any approximately attackers attacks august been binaries binary builds campaign code com/blog/malicious compilation content copyright deceive description developers devs distribution dlls downloaders during ensure execution exploited exploiting files fool found from gSo guna has have highlighted homoglyphs https://www identified impersonated initializer initially injecting inserted integrations labs later legitimate malicious microsoft modifying module moved msbuild name net new nuget obfuscated package packages part patching permission platform post powershell prefix prohibited project publishing references removed repository reproduction researchers reserved reversing reversinglabs rights scripts since site snapshot such targeting technique techniques thereof threat tracked typosquatting ui2 ui3 use used uses using versions weaving wherethreat which winforms without written wіnfօrms
Tags Threat Patching
Stories
Move


L'article ne semble pas avoir été repris aprés sa publication.


L'article ne semble pas avoir été repris sur un précédent.
My email: