トロイの木馬化されたdnSpy

dnSpyは、.NETデコンパイラです。
GitHubにコードは公開されており、 ReadMeから飛べるリンクから実行ファイルも入手できます。
dnSpy単体でのデバッグもできる上に、ステップ実行しながらのデバッグや、コード変更も可能です。
オリジナルのdnSpyは非常に人気のデバッグツールです。

このツールの似て異なるものが確認されています。
オリジナルは、GitHubで「dnSpy / dnSpy」として公開されています。
別のものが、「carbonblackz / dnSpy」として公開され、その後「isharpdev / dnSpy」に変更されました。
この似ているものは、マルウェアです。

このマルウェアは、本来のdnSpyが提供できる機能は、通常に提供します。
しかし、本来のdnSpyが提供しない機能を追加で提供します。

• MicrosoftDefenderを無効にする
• bitsadmin.exeを使用して、curl.exeを％windir％\system32\curl.exeにダウンロードする
• さまざまなペイロードをダウンロードして起動する
  curl.exeおよびbitsadmin.exeを使用して、さまざまなペイロードをC：\Trashフォルダーにダウンロードして起動します。クリップボードの内容を取り出すものや、マイナーやRATなどがダウンロードされます。
• ユーザーアカウント制御を無効にする

この似て異なるものには、それ用のホームページも開設されていました。
そしてそれが各種検索エンジンで広告されました。
このため、本来の公式であるGitHubの「dnSpy / dnSpy」よりも検索結果の上位に表示される状態が作り出されました。

2022年1月11日時点では本家以外のリポジトリも偽のホームページも閉鎖状態ですが、dnSpyを入手したことがある方は自分の環境を確認したほうがよいかもしれません。

人気のツール、その中でも特に、セキュリティ研究者や脆弱性研究者が利用する類のものが今回のようにターゲットとなるケースが少なくないようです。
自分の身は自分で守るという気持ちで、落ち着いて行動することが重要なのかもしれません。

参考記事（外部リンク）：Trojanized dnSpy app drops malware cocktail on researchers, devs
www.bleepingcomputer.com/news/security/trojanized-dnspy-app-drops-malware-cocktail-on-researchers-devs/