Pesquisadores em cibersegurança identificaram um novo pacote malicioso no NuGet que utiliza typosquatting para se passar por uma biblioteca popular de tracing para .NET e seu autor, com o objetivo de roubar carteiras de criptomoedas.
O pacote fraudulento, chamado "Tracer.Fody.NLog", esteve disponível no repositório por quase seis anos.
Foi publicado por um usuário com o nome "csnemess" em 26 de fevereiro de 2020.
Ele imita o pacote legítimo "Tracer.Fody", mantido pelo usuário "csnemes".
Até o momento da publicação desta reportagem, o pacote malicioso ainda está disponível e já foi baixado pelo menos 2.000 vezes.
Apenas a versão 3.2.4 teve 19 downloads nas últimas seis semanas.
Segundo Kirill Boychenko, pesquisador da empresa Socket, especializada em segurança da cadeia de suprimentos de software: "Ele se apresenta como uma integração padrão de tracing para .NET, mas na verdade funciona como um ladrão de carteiras de criptomoedas".
Dentro do pacote, um arquivo chamado Tracer.Fody.dll examina o diretório padrão da carteira Stratis, lê arquivos com extensão *.wallet.json, extrai os dados da carteira e exfiltra essas informações, junto com a senha, para uma infraestrutura controlada pelo atacante, hospedada em um IP da Rússia: 176.113.82[.]163.
A análise da Socket revelou que os cibercriminosos usaram diversas técnicas para escapar de revisões superficiais.
Entre elas: a imitação do nome do mantenedor legítimo, que difere em apenas uma letra ("csnemes" contra "csnemess"); o uso de caracteres cirílicos visualmente semelhantes ao alfabeto latino no código-fonte; e o encapsulamento da rotina maliciosa dentro de uma função genérica de verificação ("Guard.NotNull"), que é executada normalmente pelo programa.
Assim que um projeto referencia esse pacote malicioso, ele ativa uma rotina que escaneia o diretório padrão da carteira Stratis no Windows ("%APPDATA%\\StratisNode\\stratis\\StratisMain"), lê os arquivos *.wallet.json e senhas em memória, e envia essas informações para o endereço IP russo mencionado.
"Todas as exceções são tratadas silenciosamente, então, mesmo que a exfiltração falhe, o aplicativo hospedeiro continua funcionando normalmente, sem apresentar erros, enquanto os dados da carteira são discretamente vazados para a infraestrutura do invasor", explicou Boychenko.
A Socket apontou que esse mesmo endereço IP foi utilizado em dezembro de 2023 em outra campanha de impersonação no NuGet, quando o cibercriminoso publicou um pacote chamado "Cleary.AsyncExtensions", sob o pseudônimo "stevencleary".
Esse pacote continha funcionalidades para capturar frases-semente de carteiras e foi nomeado para se assemelhar à biblioteca AsyncEx do NuGet.
O caso reforça como pacotes maliciosos que realizam typosquatting e imitam ferramentas legítimas podem operar furtivamente dentro dos ecossistemas de repositórios open source, sem despertar suspeitas imediatas.
A empresa alerta que defender-se contra essas ameaças exige atenção constante, pois atividades similares e novos implantes baseados nesse padrão são esperados.
Potenciais alvos incluem outras bibliotecas de logging e tracing, validação de argumentos e pacotes utilitários comuns em projetos .NET.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...