Los investigadores de ciberseguridad han descubierto un nuevo ataque a la cadena de suministro dirigido al administrador de paquetes NuGet con errores tipográficos maliciosos de Neethereum , una popular plataforma de integración de Ethereum .NET, para robar las claves de las carteras de criptomonedas de las víctimas.
El paquete, Países Bajos.Todos , según la empresa de seguridad Socket, se ha descubierto que contiene funciones para decodificar un punto final de comando y control (C2) y filtrar frases mnemotécnicas, claves privadas y datos de almacenes de claves.
La biblioteca fue cargada por un usuario llamado» grupo nethereum «el 16 de octubre de 2025. La retiraron de NuGet por infringir las condiciones de uso del servicio cuatro días después.
Lo destacable del paquete NuGet es que cambia la última aparición de la letra «e» por el homoglífico cirílico «e» (U+0435) para engañar a los desarrolladores desprevenidos para que lo descarguen.
En un nuevo intento por aumentar la credibilidad del paquete, los actores de amenazas han recurrido a inflar artificialmente el número de descargas, alegando que se ha descargado 11,7 millones de veces, una enorme señal de alerta dado que es poco probable que una biblioteca completamente nueva acumule un recuento tan alto en un corto período de tiempo.
«Un actor de amenazas puede publicar muchas versiones y, luego, descargar scripts de cada .nupkg mediante la instalación de nuget.exe en bucle o contenedor plano de la versión 3 y la restauración de dotnet sin opciones de caché desde los servidores en la nube», dijo el investigador de seguridad Kirill Boychenko dijo . «La rotación de las IP y los agentes de usuario y la paralelización de las solicitudes aumentan el volumen y evitan los cachés de los clientes».
«El resultado es un paquete que parece 'popular', lo que mejora la ubicación de las búsquedas ordenadas por relevancia y da una falsa sensación de prueba cuando los desarrolladores echan un vistazo a los números».
La carga útil principal del paquete NuGet se encuentra dentro de una función denominada EIP70221TransactionService.shuffle, que analiza una cadena codificada en XOR para extraer el servidor C2 (solananetworkinstance [.] info/api/gads) y exfiltra los datos confidenciales de la billetera para el atacante.
Se descubrió que el actor de la amenaza había subido previamente otro paquete de NuGet llamado «NethereumNet» con la misma funcionalidad engañosa a principios de mes. El equipo de seguridad de NuGet ya lo ha eliminado.
Esta no es la primera tipografía homoglífica que se ha detectado en el repositorio de NuGet. En julio de 2024, ReversingLabs documentadas detalles de varios paquetes que se hacían pasar por sus homólogos legítimos al sustituir ciertos elementos por sus equivalentes para evitar una inspección casual.
A diferencia de otros repositorios de paquetes de código abierto como PyPI, npm, Maven Central, Go Module y RubyGems, que imponen restricciones en el esquema de nombres para ASCII, NuGet no impone tales restricciones más allá de prohibir los espacios y los caracteres de URL no seguros, lo que abre la puerta al abuso.
Para mitigar estos riesgos, los usuarios deben analizar cuidadosamente las bibliotecas antes de descargarlas, lo que incluye verificar la identidad del editor y los aumentos repentinos de descargas, y monitorear el tráfico de red anómalo.