Pesquisadores de cibersegurança detectaram um novo ataque à cadeia de suprimentos que mira o NuGet, o gerenciador de pacotes para .NET, por meio de typosquats maliciosos relacionados ao Nethereum — uma plataforma popular de integração Ethereum para .NET — com o objetivo de roubar chaves de carteiras de criptomoedas.
O pacote fraudulento, chamado Netherеum[.]All, contém uma funcionalidade para decodificar um endpoint de comando e controle (C2) e exfiltrar frases mnemônicas, chaves privadas e dados de keystore, segundo a empresa de segurança Socket.
Esse pacote foi publicado por um usuário identificado como “nethereumgroup” em 16 de outubro de 2025 e removido quatro dias depois do NuGet por violar os Termos de Uso da plataforma.
O destaque dessa ameaça está na substituição do último “e” da palavra “Nethereum” pelo homógrafo cirílico “е” (U+0435), visualmente idêntico ao latino, mas que engana desenvolvedores desavisados, levando-os a baixar a versão maliciosa.
Para aumentar a credibilidade do pacote, os atacantes também inflaram artificialmente o número de downloads, alegando mais de 11,7 milhões de instalações — dado suspeito, considerando que é improvável que uma biblioteca recém-publicada acumule esse volume em tão pouco tempo.
Kirill Boychenko, pesquisador de segurança, explica que “um ator malicioso pode publicar várias versões, automatizar os downloads via v3 flat-container ou usar comandos como nuget.exe install e dotnet restore com a opção no-cache a partir de servidores na nuvem. A rotação de IPs e user agents, junto à paralelização dos pedidos, turbina o volume enquanto evita caches locais.”
Esse artifício cria uma falsa impressão de popularidade, garantindo melhor posicionamento nas buscas por relevância e induzindo desenvolvedores a confiar nos números de download.
O payload principal está em uma função chamada EIP70221TransactionService.Shuffle, que interpreta uma string codificada em XOR para obter o endereço do servidor C2 (solananetworkinstance[.]info/api/gads) e envia os dados sensíveis da carteira diretamente ao invasor.
Além disso, o mesmo ator já havia publicado, no início do mês, outro pacote chamado “NethereumNet” com funcionalidades semelhantes.
Este também foi removido pela equipe de segurança do NuGet.
Vale destacar que este não é o primeiro caso de typosquats com homógrafos no repositório NuGet.
Em julho de 2024, a ReversingLabs documentou diversas bibliotecas que imitavam pacotes legítimos ao substituir caracteres por equivalentes visualmente semelhantes para escapar de análises superficiais.
Diferentemente de outros repositórios de código aberto, como PyPI, npm, Maven Central, Go Module e RubyGems — que restringem nomes a caracteres ASCII — o NuGet não impõe limitações rigorosas, apenas proíbe espaços e caracteres não seguros em URLs, facilitando esse tipo de abuso.
Para se proteger, é fundamental que usuários verifiquem cuidadosamente a origem dos pacotes antes do download, confirmem a identidade dos publishers, fiquem atentos a picos anormais de downloads e monitorem o tráfego de rede para detectar comportamentos suspeitos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...