Pesquisadores em cibersegurança identificaram quatro pacotes maliciosos na plataforma NuGet, destinados a desenvolvedores de aplicações web ASP.NET, com o objetivo de roubar dados sensíveis.
A campanha, descoberta pela empresa Socket, exfiltra informações do ASP.NET Identity, como contas de usuário, atribuições de funções e mapas de permissões.
Além disso, os pacotes manipulam regras de autorização para criar backdoors persistentes nas aplicações atacadas.
Os nomes dos pacotes maliciosos são:
- NCryptYo
- DOMOAuth2_
- IRAOAuth2.0
- SimpleWriter_
Eles foram publicados entre 12 e 21 de agosto de 2024 por um usuário chamado hamzazaheer.
Após a divulgação responsável, os pacotes foram removidos do repositório, mas não antes de acumularem mais de 4.500 downloads.
Segundo a empresa especializada em segurança da cadeia de suprimentos de software, o pacote NCryptYo funciona como um dropper de primeira fase.
Ele estabelece um proxy local na porta localhost:7152, que retransmite tráfego para um servidor de comando e controle (C2) controlado pelo invasor, cujo endereço é obtido dinamicamente em tempo de execução.
Vale destacar que o NCryptYo tenta se passar pelo pacote legítimo NCrypto.
Os pacotes DOMOAuth2_ e IRAOAuth2.0 são responsáveis por roubar dados do Identity e instalar backdoors nas aplicações.
Já o SimpleWriter_ oferece capacidades de escrita incondicional em arquivos e execução oculta de processos, disfarçado como uma ferramenta de conversão para PDF.
A análise dos metadados dos pacotes revelou ambientes de compilação idênticos, indicando que todos fazem parte da mesma campanha conduzida por um único ator malicioso.
Segundo o pesquisador Kush Pandya: “NCryptYo é um dropper de execução na carga da primeira fase.
Quando o assembly é carregado, seu construtor estático instala ganchos no compilador JIT que descriptografam payloads embutidos e implantam um binário de segunda fase — um proxy local que atua na porta 7152, retransmitindo o tráfego entre os pacotes associados e o servidor externo de C2, cujo endereço é resolvido dinamicamente.”
Com o proxy ativo, DOMOAuth2_ e IRAOAuth2.0 começam a enviar os dados do ASP.NET Identity por meio dele para a infraestrutura remota controlada pelo invasor.
O servidor C2 responde com regras de autorização que são processadas pela aplicação para criar backdoors permanentes, garantindo privilégios administrativos, alterações no controle de acesso e a desativação de verificações de segurança.
O SimpleWriter_ grava conteúdo controlado pelo invasor no disco e executa o binário com janelas ocultas.
Ainda não está claro como os usuários são levados a baixar esses pacotes, já que o ataque só se inicia após a instalação dos quatro.
“O objetivo da campanha não é comprometer diretamente a máquina do desenvolvedor, mas sim as aplicações que ele constrói”, explicou Pandya.
“Ao controlar a camada de autorização durante o desenvolvimento, o invasor obtém acesso às aplicações em produção.”
Quando a aplicação ASP.NET com as dependências maliciosas é implantada, a infraestrutura C2 permanece ativa em produção, exfiltrando continuamente dados de permissões e aceitando regras de autorização modificadas.
O atacante ou um eventual comprador consegue, assim, atribuir a si privilégios administrativos em qualquer instância implantada.
Esse caso acompanha a divulgação da Tenable sobre um pacote malicioso npm chamado ambar-src, que acumulou mais de 50 mil downloads antes de ser removido do registro JavaScript.
Publicado em 13 de fevereiro de 2026, esse pacote utiliza o hook preinstall do npm para executar código malicioso no arquivo index.js durante a instalação.
O malware executa comandos específicos para cada sistema operacional:
- No Windows, baixa e executa o arquivo msinit.exe, que contém shellcode criptografado, decodificado e carregado na memória.
- No Linux, baixa um script bash que, por sua vez, obtém um payload ELF funcionando como shell reverso SSH.
- No macOS, baixa um script que usa osascript para executar JavaScript responsável por instalar o Apfell, um agente JXA do framework Mythic C2, capaz de realizar reconhecimento, capturar telas, roubar dados do Google Chrome e senhas do sistema simulando prompts falsos.
Segundo a Tenable, o pacote emprega múltiplas técnicas para evitar detecção e distribui malware open source com capacidades avançadas, visando desenvolvedores em hosts Windows, Linux e macOS.
Os dados coletados são exfiltrados para um domínio no Yandex Cloud, buscando se misturar ao tráfego legítimo e aproveitar a menor probabilidade de bloqueio dentro de redes corporativas.
O ambar-src é considerado uma variante mais sofisticada do eslint-verify-plugin, outro pacote npm malicioso que a JFrog detectou recentemente, responsável por instalar agentes Mythic Poseidon e Apfell em sistemas Linux e macOS.
“A presença deste pacote indica que o sistema está completamente comprometido”, alerta a Tenable.
“Embora a remoção seja essencial, ela não garante a eliminação de todo o malware, pois terceiros podem ter assumido controle total do computador.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...