広く使用されているオープンソースの.NETデコンパイラであるILSpyの公式WordPressウェブサイトが、無防備な開発者にマルウェアを配信するために設計された標的型攻撃によって侵害されました。
このインシデントは、信頼できるソフトウェアリソースを悪意のあるペイロード配信メカニズムに変換し、開発者向けのサプライチェーン脅威についての懸念を引き起こしました。
この侵害は、サイバーセキュリティ研究グループvx-undergroundによって最初に確認されました。彼らは「RootSuccess」というエイリアスで活動するセキュリティ研究者からのビデオ証拠を受け取った後、調査結果を共有しました。
報告書によると、悪意のある活動は東部標準時午前1時22分頃に始まり、攻撃者がILSpyウェブサイトのダウンロード機能の動作を変更しました。
通常の状態では、ILSpyダウンロードリンクをクリックしたユーザーは、プロジェクトの公式GitHubリポジトリにリダイレクトされ、そこで正当なソフトウェアがホストされています。
しかし、侵害中は、このリダイレクトメカニズムが操作され、訪問者を代わりに悪意のあるサードパーティドメインに送信していました。
リダイレクトされると、ユーザーはダウンロードを続行するためにブラウザ拡張機能をインストールするよう指示する欺瞞的なプロンプトに遭遇しました。
この戦術は、攻撃者が悪意のあるソフトウェアを正当なコンテンツにアクセスするための必須コンポーネントとして偽装する、よく知られたソーシャルエンジニアリング技術を活用しています。
より高度なシナリオでは、このような拡張機能は感染したシステムへの永続的なアクセスを確立することができます。
このキャンペーンにおける開発者のターゲットは、攻撃を特に危険にします。開発者は内部システム、独自のソースコード、および重要なインフラストラクチャへの特権アクセスを持つことが多いです。
開発者の環境が正常に侵害されると、より広範な組織的侵害につながるか、複数の組織に影響を与える下流のサプライチェーン攻撃を促進する可能性があります。
執筆時点では、ILSpy WordPressドメインはオフラインのままで、「502 Bad Gateway」エラーを返しています。これは、管理者が脅威を封じ込め、侵入を調査し、修復作業を開始するために意図的にサイトをオフラインにした可能性が高いことを示唆しています。
セキュリティ専門家は、最近ILSpyウェブサイトを訪問した開発者に対し、直ちに予防措置を講じるよう促しています。
ツールをダウンロードしようとしたユーザーや、予期しないブラウザ拡張機能をインストールした場合は、直ちにそれらを削除し、すべてのパスワードをリセットして、信頼できるセキュリティツールを使用して包括的なシステムスキャンを実行する必要があります。
予防措置として、開発者は侵害されたウェブサイトが公式に安全であると宣言されるまでアクセスしないよう勧められています。
代わりに、ユーザーはソフトウェアの完全性を保証するために、確認されたGitHubリポジトリから直接ILSpyをダウンロードする必要があります。
このインシデントは、攻撃者が開発者エコシステムをより大規模な侵入の入口としてターゲットにする傾向の増加を浮き彫りにしています。
また、ダウンロードソースを検証することの重要性と、ルーチンソフトウェアダウンロード中にブラウザ拡張機能のインストール要求などの予期しないプロンプトが表示される場合に警戒し続けることの重要性を強調しています。
翻訳元: https://cyberpress.org/breach-ilspy-wordpress/