JFrogは3月20日(米国時間)、公式ブログの「Attackers are starting to target .NET developers with malicious-code NuGet packages」において、.NET Framework向けのパッケージマネージャである「NuGet」のリポジトリに複数の悪意のあるパッケージが発見されたことを伝えた。これらのパッケージは、インストール時に標的となったマシンに暗号資産スティーラーなどのマルウェアをダウンロードして感染させるという。

Attackers are starting to target .NET developers with malicious-code NuGet packages|JFrog

JFrogのレポートでは、NuGetリポジトリで公開されていた13の悪意のあるパッケージが公表されている。最もダウンロード数の多い3つのパッケージだけでも、約1カ月間で16万回以上ダウンロードされたという。

NuGetリポジトリで発見された悪意のあるパッケージ

これらのパッケージはいずれも同じペイロード(第2段階のペイロード)を含んでおり、インストール時にPowerShellスクリプトを実行してリモートサーバからWindows実行可能ファイル(第2段階のペイロード)をダウンロードする。第2段階のペイロードの大部分はオープンソースのハッキングツールをベースにしたもので、部分的な分析によって暗号資産スティーラーなど複数のマルウェアが含まれていることが確認されたという。

悪意のあるマルウェアの配布方法として、Node.js向けのNPMや、Python向けのPyPIといったパッケージマネージャが標的とされる例はこれまでも検出されている。しかしJFrogによると、NuGetのリポジトリは、過去にフィッシングリンクの拡散に悪用されたケースはあるものの、悪意のあるコードを含むパッケージが見つかったのは初めてだという。

今回発見されたパッケージは既にリポジトリから削除されているとのことだが、.NET開発者は依然としてNuGet経由で悪意のあるコードに感染するリスクが高いことを認識し、注意を払う必要があるとJFrogの研究者は呼びかけている。