ソフトウェア開発者が.NETコードを検査するために使用する非常に人気の高いオープンソースツールであるILSpyの公式WordPressウェブサイトが侵害されました。
ハッカーはサイトを侵害することに成功し、訪問者をリダイレクトしてマルウェアを配布し、信頼できる開発者向けリソースを危険な罠に変えてしまいました。
リダイレクト攻撃
サイバーセキュリティ研究グループvx-undergroundは「RootSuccess」として知られるセキュリティ研究者からのビデオ証拠を受け取った後、この侵害を確認しました。攻撃は東部標準時午前1時22分頃に開始されたと報告されています。
通常の状況では、ILSpyウェブサイト上のダウンロードリンクをクリックすると、ユーザーはプロジェクトの公式GitHubリポジトリに直接送られて、クリーンで正当なソフトウェアを取得できます。
しかし、侵害中、ハッカーはウェブサイトの動作を変更しました。ツールをダウンロードしようとした訪問者は、代わりに悪意のあるサードパーティドメインにリダイレクトされました。
このフェイクページにアクセスすると、ユーザーは欺瞞的なプロンプトが表示されました。サイトは、ダウンロードを続けるために新しいブラウザ拡張機能をインストールする必要があると主張しました。
これは古典的なソーシャルエンジニアリング戦術です。フェイクブラウザ拡張機能は、パスワードを盗聴し、ログインクッキーをキャプチャし、ウェブブラウジング習慣を監視し、またはバックグラウンドでより深刻なマルウェアをダウンロードする可能性があるため、非常に危険です。
このような攻撃は、ソフトウェア開発者を標的にしているため、特に懸念があります。開発者はしばしば企業ネットワーク、プライベートソースコード、および企業インフラストラクチャに対する昇格されたアクセス権を持っています。
ハッカーがフェイク拡張機能を通じて開発者のマシンを正常に侵害することができれば、それは大規模なデータ侵害または開発者の雇用者に対するさらなるサプライチェーン攻撃につながる可能性があります。
現在、メインのILSpy WordPressドメインは完全にオフラインです。ウェブサイトにアクセスしようとする誰もが「502 Bad Gateway」エラーを表示します。
これはサーバーが適切に通信していないことを示しており、おそらく管理者がマルウェア配布を停止し、侵入を調査し、侵害されたサーバーをクリーンアップするためにウェブサイトを意図的にオフラインにしたことを意味します。
セキュリティチームは、最近ILSpyウェブサイトにアクセスしたすべての開発者に、彼らのシステムをチェックするようアドバイスしています。
最近ソフトウェアをダウンロードしようとして、予期しないブラウザ拡張機能をインストールした場合は、それらを直ちに削除し、パスワードを変更し、徹底的なセキュリティスキャンを実行する必要があります。
公式ウェブサイトが安全であることが確認されるまで、ユーザーはメインサイトをバイパスして、公式GitHubリポジトリから直接ILSpyをダウンロードする必要があります。
ウェブサイトが標準ファイルをダウンロードするためにいきなりブラウザ拡張機能を要求する場合は、常に注意が必要です。
翻訳元: https://gbhackers.com/hackers-breach-ilspy-wordpress-domain/
