针对.NET开发者的恶意NuGet包攻击

关键要点

• 恶意NuGet包针对.NET开发者，下载量接近150,000次。
• 最流行的包是Coinbase.Core，下载超过120,000次，在从NuGet库中移除之前。
• 攻击者利用拼写欺诈手段吸引下载。
• 包含PowerShell脚本，意在窃取加密货币并执行其他恶意操作。

根据的报道，恶意的NuGet包正在被黑客用来攻击.NET开发者。这些的下载量接近150,000次，其中最受欢迎的包“Coinbase.Core”在被移除之前，下载超过120,000次。这一数据来自JFrog的报告，该报告指出，攻击者借助拼写欺诈手段来诱导用户下载。

研究人员发现，这些包中包含了一个PowerShell脚本，用于获取第二个Windows可执行文件载荷，该载荷具有加密货币盗窃、Electron归档代码提取与执行、以及更新可执行文件部署的能力。JFrog表示：“前三个包的下载次数异常之高，这可能意味着此次攻击非常成功，感染了大量设备。然而，这并不完全可靠，因为攻击者可能通过自动化手段用机器人提升下载量，从而使这些包看起来更为可信。”

附加信息

包名称 | 下载次数
—|—
Coinbase.Core | 超过120,000次
其他恶意包 | 接近150,000次

注意 ：开发者在使用NuGet包时，应对包的来源保持谨慎，避免下载来源不明或下载量异常的包，以保护自身和项目的安全。