恶意NuGet软件包针对ASP.NET开发者的数据窃取攻击

恶意NuGet软件包窃取ASP.NET身份数据

网络安全研究机构Socket近期发现四个恶意NuGet软件包，专门针对ASP.NET Web应用开发者。这些软件包能够窃取敏感的ASP.NET Identity数据——包括用户账户、角色分配及权限映射——同时操纵授权规则，在受感染应用中建立持久性后门。

攻击技术细节

这些恶意软件包是一场针对**.NET开发常用的包管理器NuGet**的协同攻击行动的一部分。攻击者在看似合法的软件包中嵌入恶意代码，实现以下功能：

• 窃取ASP.NET Identity数据（用户凭证、角色、权限）
• 修改授权规则，创建隐藏管理员账户
• 建立持久性，通过后门感染受害应用

尽管原始报告未披露具体的CVE编号或软件包名称，但此攻击手法与近期针对开源生态系统的供应链攻击趋势一致。

对开发者及组织的影响

ASP.NET Identity数据泄露可能带来严重风险，包括：

• 未经授权访问敏感用户数据
• 通过操纵角色分配实现权限提升
• 通过后门应用实现长期持久性
• 违反数据保护法规（如GDPR、CCPA）导致合规风险

使用NuGet进行ASP.NET项目开发的开发者应审计依赖项，检查是否存在可疑软件包，并监控授权变更。

缓解措施与后续步骤

安全团队及开发者建议采取以下措施：

1. 扫描NuGet依赖项，使用Socket、OWASP Dependency-Check或NuGet Package Explorer等工具
2. 检查ASP.NET Identity配置，排查未经授权的修改
3. 轮换所有受影响账户及角色的凭证
4. 监控应用日志，发现异常认证尝试
5. 实施供应链安全措施，如软件包签名及来源验证

Socket已向NuGet平台报告这些恶意软件包，平台可能已将其从仓库中移除。然而，开发者仍需对其他包生态系统（如npm、PyPI、RubyGems）中的类似威胁保持警惕。

更多详情，请参阅The Hacker News的原始报告。