PowerShellスクリプトの実行後、第2段階の攻撃として「Impala Stealer」と呼ばれる、ユーザーの暗号通貨アカウントに不正にアクセス可能な.NETベースの永続的なバックドアが展開されることが確認されている。このペイロードは「.NET AoTコンパイル」と呼ばれる非常に珍しい難読化技術が使われ、高いステルス性を持ち、リバースエンジニアリングが困難なバイナリになっていると分析されている。

Impala Stealerが含まれていたとされる悪意のあるNuGetパッケージは次のとおり。

  • Coinbase.Core
  • Anarchy.Wrapper.Net
  • DiscordRichPresence.API
  • Avalon-Net-Core
  • Manage.Carasel.Net
  • Asip.Net.Core
  • Sys.Forms.26
  • Azetap.API
  • AvalonNetCore
  • Json.Manager.Core
  • Managed.Windows.Core
  • Nexzor.Graphical.Designer.Core
  • Azeta.API

.NET向けのNuGetだけでなく、Python向けのPyPI、Node.js向けのNPMなどのパッケージマネージャがマルウェアの配布に悪用され、開発者が標的にされるサイバー攻撃が増加している。どのオープンソースソフトウェアリポジトリも完全に安全ではないということを認識するとともに、サードパーティ製のパッケージを使用する際は対象とするパッケージが正規のものであるか注意深く確認することが求められている。

国内最大級の品揃え【DMMブックス】ロリポップ!

情報元
https://news.mynavi.jp/techplus/article/20230417-2651872/