{"id":987,"date":"2023-10-31T15:04:42","date_gmt":"2023-10-31T15:04:42","guid":{"rendered":"https:\/\/byte-bucket.com\/2023\/10\/31\/neue-nuget-typosquatting-kampagne-missbraucht-msbuild-integration-von-visual-studio\/"},"modified":"2023-10-31T15:04:42","modified_gmt":"2023-10-31T15:04:42","slug":"neue-nuget-typosquatting-kampagne-missbraucht-msbuild-integration-von-visual-studio","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=987","title":{"rendered":"Neue NuGet-Typosquatting-Kampagne missbraucht MSBuild-Integration von Visual Studio"},"content":{"rendered":"<p>In der Welt der Softwareentwicklung gibt es eine Vielzahl von Tools und Plattformen, die Entwicklern dabei helfen, ihre Projekte zu erstellen und zu verwalten. Eines dieser Tools ist NuGet, ein Open-Source-Paketmanager und Softwareverteilungssystem f\u00fcr .NET-Bibliotheken. NuGet erm\u00f6glicht es Entwicklern, fertige Bibliotheken in ihre Projekte zu integrieren und so den Entwicklungsprozess zu beschleunigen.<\/p>\n<p>Leider gibt es auch b\u00f6swillige Akteure, die diese Plattformen ausnutzen, um ihre sch\u00e4dliche Software zu verbreiten. In letzter Zeit hat eine neue NuGet-Typosquatting-Kampagne die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen. Diese Kampagne nutzt verschiedene Typosquatting-Pakete, um Malware zu installieren und die MSBuild-Integration von Visual Studio auszunutzen.<\/p>\n<p>Die MSBuild-Integration von NuGet wurde mit der Version 2.5 eingef\u00fchrt und dient dazu, native Projekte zu unterst\u00fctzen, den Build- und Testprozess zu automatisieren und benutzerdefinierte Aktionen zu definieren. Wenn ein NuGet-Paket installiert wird, das einen &#8222;build&#8220;-Ordner enth\u00e4lt, f\u00fcgt NuGet automatisch ein MSBuild-Element &#8222;<Import>&#8220; zum Projekt hinzu, das auf die .targets- und .props-Dateien in diesem Ordner verweist. Diese Dateien werden dann w\u00e4hrend des Build-Prozesses verwendet, um Konfigurationen, Eigenschaften oder benutzerdefinierte Aufgaben festzulegen.<\/p>\n<p>Das Neue an dieser Kampagne ist, dass die b\u00f6sartigen Pakete die MSBuild-Integration nutzen, um Code auszuf\u00fchren und Malware zu installieren. In der <packageID.targets-Datei im \"build\"-Verzeichnis verbirgt sich der b\u00f6sartige Code als <Code>-Eigenschaft. Bei der Ausf\u00fchrung ruft der Code eine ausf\u00fchrbare Datei von einer externen Adresse ab und f\u00fchrt sie in einem neuen Prozess aus.<\/p>\n<p>Dies ist nicht das erste Mal, dass die MSBuild-Integration von NuGet missbraucht wird. Bereits im Jahr 2019 wurde eine \u00e4hnliche Technik von einem Sicherheitsforscher demonstriert. Doch dies ist der erste dokumentierte Fall, in dem Bedrohungsakteure diese Funktion in b\u00f6sartigen NuGet-Paketen nutzen.<\/p>\n<p>Die Analysten von ReversingLabs haben diese neue NuGet-Kampagne am 15. Oktober 2023 entdeckt. Die b\u00f6sartigen Pakete wurden als Typosquatting-Varianten bekannter Pakete erstellt. Einige der Beispiele sind <ul. Es ist wichtig zu beachten, dass diese Pakete bereits entfernt wurden.\n\nDie Entdeckung dieser Kampagne wirft Bedenken hinsichtlich der Sicherheit von Softwareverteilungssystemen wie NuGet auf. Obwohl die MSBuild-Integration eine n\u00fctzliche Funktion ist, um den Build-Prozess zu automatisieren, erm\u00f6glicht sie auch die automatische Ausf\u00fchrung von Skripten bei der Installation eines Pakets. Dies er\u00f6ffnet Angreifern eine neue M\u00f6glichkeit, b\u00f6sartigen Code in die Systeme der Entwickler einzuschleusen.\n\nDie Experten von ReversingLabs haben auch festgestellt, dass es starke Verbindungen zu einer anderen Kampagne gibt, die k\u00fcrzlich von Phylum gemeldet wurde. Hierbei haben die Angreifer Typosquatting genutzt, um Kryptoprojekte zu imitieren und den SeroXen RAT zu verbreiten.\n\nEs ist ermutigend zu sehen, dass die Sicherheitsforscher diese b\u00f6sartigen Aktivit\u00e4ten entdecken und die entsprechenden Ma\u00dfnahmen ergreifen, um die sch\u00e4dlichen Pakete zu entfernen. Dennoch ist es wichtig, dass Entwickler und Nutzer von NuGet wachsam bleiben und sicherstellen, dass sie vertrauensw\u00fcrdige Pakete verwenden. Es ist auch ratsam, regelm\u00e4\u00dfig nach Updates zu suchen und bekannte Sicherheitsl\u00fccken zu schlie\u00dfen, um das Risiko von Angriffen zu minimieren.\n\nDie Entwickler von NuGet arbeiten ebenfalls daran, die Sicherheit der Plattform zu verbessern und potenzielle Angriffsvektoren zu minimieren. Es bleibt zu hoffen, dass diese Bem\u00fchungen dazu beitragen, die Sicherheit der Entwicklergemeinschaft zu gew\u00e4hrleisten und b\u00f6swillige Aktivit\u00e4ten einzud\u00e4mmen.\n\nInsgesamt ist es wichtig, dass wir uns der potenziellen Risiken bewusst sind, die mit der Nutzung von Softwareverteilungssystemen verbunden sind, und dass wir proaktiv Ma\u00dfnahmen ergreifen, um unsere Systeme zu sch\u00fctzen. Durch eine Kombination aus Sensibilisierung, regelm\u00e4\u00dfigen Updates und der Verwendung vertrauensw\u00fcrdiger Quellen k\u00f6nnen wir die Sicherheit unserer Softwareprojekte gew\u00e4hrleisten.\n\nSchlagw\u00f6rter: NuGetTyposquatting + MalwareInstallation + MSBuildIntegration\n<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In der Welt der Softwareentwicklung gibt es eine Vielzahl von Tools und Plattformen, die Entwicklern dabei helfen, ihre Projekte zu erstellen und zu verwalten. Eines dieser Tools ist NuGet, ein Open-Source-Paketmanager und Softwareverteilungssystem f\u00fcr .NET-Bibliotheken. NuGet erm\u00f6glicht es Entwicklern, fertige Bibliotheken in ihre Projekte zu integrieren und so den Entwicklungsprozess&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":986,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-987","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/987","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=987"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/987\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/986"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=987"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=987"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=987"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}