恶意NuGet包窃取ASP.NET数据，npm包投放恶意软件

网络安全研究人员发现了四个恶意NuGet包，专门针对ASP.NET网络应用开发者，旨在窃取敏感数据。

这一攻击活动由Socket公司发现，能够窃取ASP.NET身份数据，包括用户账户、角色分配和权限映射，同时操控授权规则在受害应用中创建持久性后门。

这些恶意包的名称如下：

NCryptYo

DOMOAuth2_

IRAOAuth2.0

SimpleWriter_

这些NuGet包于2024年8月12日至21日期间由用户名为hamzazaheer的账户发布到代码库中。在负责任披露后，这些包已从代码库中移除，但在此之前已累计超过4500次下载。

根据软件供应链安全公司的分析，NCryptYo充当第一阶段投放器，在localhost:7152上建立本地代理，将流量转发至攻击者控制的命令控制服务器，该服务器地址在运行时动态获取。值得注意的是，NCryptYo试图伪装成合法的NCrypto包。

DOMOAuth2_和IRAOAuth2.0负责窃取身份数据并在应用中植入后门，而SimpleWriter_具备无条件文件写入和隐藏进程执行能力，同时伪装成PDF转换工具。对包元数据的分析显示了相同的构建环境，表明这一攻击活动出自单一威胁行为者。

安全研究员Kush Pandya表示："NCryptYo是一个第一阶段的加载时执行投放器。当程序集加载时，其静态构造函数会安装JIT编译器钩子，解密嵌入的载荷并部署第二阶段二进制文件——一个在7152端口上的本地代理，在配套包与攻击者外部命令控制服务器之间中继流量，服务器地址在运行时动态解析。"

代理激活后，DOMOAuth2_和IRAOAuth2.0开始通过本地代理向外部基础设施传输ASP.NET身份数据。命令控制服务器返回授权规则，然后由应用处理这些规则，通过授予自己管理员角色、修改访问控制或禁用安全检查来创建持久性后门。SimpleWriter_则负责将威胁行为者控制的内容写入磁盘，并以隐藏窗口执行投放的二进制文件。

目前尚不清楚用户如何被诱骗下载这些包，因为只有在安装全部四个包后攻击链才会启动。

Pandya解释说："这一攻击活动的目标不是直接攻破开发者的机器，而是攻破他们构建的应用程序。通过在开发过程中控制授权层，威胁行为者获得了对已部署生产应用的访问权限。"

"当受害者部署带有恶意依赖项的ASP.NET应用时，命令控制基础设施在生产环境中保持活跃，持续窃取权限数据并接受修改的授权规则。威胁行为者或买家随后可以授予自己对任何已部署实例的管理员级别访问权限。"

在此披露的同时，Tenable公司披露了一个名为ambar-src的恶意npm包的详细信息，该包在从JavaScript注册表中移除之前累计了超过50000次下载。该包于2026年2月13日上传至npm。

该包利用npm的preinstall脚本钩子，在安装过程中触发index.js中包含的恶意代码执行。恶意软件设计为运行一行命令，根据操作系统从域名"x-ya[.]ru"获取不同载荷：

在Windows系统上，它下载并执行名为msinit.exe的文件，该文件包含加密的shellcode，被解码后加载到内存中。

在Linux系统上，它获取bash脚本并执行。该bash脚本随后从同一服务器检索另一个载荷，即作为基于SSH的反向shell客户端工作的ELF二进制文件。

在macOS系统上，它获取另一个脚本，该脚本使用osascript运行JavaScript，负责投放Apfell——一个JavaScript自动化代理，属于Mythic命令控制框架的一部分，可以进行侦察、收集屏幕截图、从Google Chrome窃取数据，并通过显示虚假提示来捕获系统密码。

该公司表示："它采用多种技术来逃避检测，并投放具有高级功能的开源恶意软件，针对Windows、Linux和macOS主机上的开发者。"

数据收集完成后，会被窃取到攻击者的Yandex云域名，试图与合法流量混合，并利用可信服务在企业网络中不太可能被阻止这一事实。

Ambar-src被评估为eslint-verify-plugin的更成熟变种，后者是最近被JFrog标记的另一个恶意npm包，在Linux和macOS系统上投放Mythic智能体Poseidon和Apfell。

Tenable表示："如果此包被安装或在计算机上运行，该系统必须被视为完全受损。虽然应该移除该包，但请注意，由于外部实体可能已获得计算机的完全控制权，移除包并不能保证消除所有由此产生的恶意软件。"

Q&A

Q1：这些恶意NuGet包是如何工作的？

A：这些恶意包通过多阶段攻击方式工作。NCryptYo作为第一阶段投放器建立本地代理，DOMOAuth2_和IRAOAuth2.0负责窃取ASP.NET身份数据并植入后门，SimpleWriter_则负责文件写入和进程执行。它们协同工作，在开发者的应用中创建持久性后门。

Q2：ambar-src恶意npm包对不同操作系统有什么影响？

A：ambar-src根据不同操作系统投放不同载荷：Windows系统下载执行包含加密shellcode的msinit.exe文件；Linux系统获取bash脚本并执行ELF二进制反向shell客户端；macOS系统投放Apfell代理，可进行系统侦察、截图和密码窃取。

Q3：如何防范这类恶意软件包攻击？

A：开发者应谨慎选择和验证第三方包的来源，定期检查依赖项的安全性，使用可信的包管理工具进行安全扫描。如发现系统已安装这些恶意包，应立即移除并进行全面安全检查，因为系统可能已被完全控制。