Los investigadores de ciberseguridad han descubierto un nuevo paquete NuGet malicioso que comete errores tipográficos y se hace pasar por la popular biblioteca de rastreo .NET y su autor para colarse en un ladrón de carteras de criptomonedas.
El paquete malicioso, denominado» Tracer.fody.nlog », permaneció en el repositorio durante casi seis años. Lo publicó un usuario llamado «csnemess» el 26 de febrero de 2020. Se disfraza de» Tracer.Fody », que es mantenido por» esquemas ». El paquete sigue disponible en el momento de escribir este artículo y se ha descargado al menos 2.000 veces, 19 de las cuales se han descargado en las últimas seis semanas para la versión 3.2.4.
«Se presenta como una integración estándar de rastreo de.NET, pero en realidad funciona como un ladrón de monederos de criptomonedas», dijo Kirill Boychenko, investigador de seguridad de Socket dijo . «Dentro del paquete malicioso, el Tracer.Fody.dll integrado escanea el directorio predeterminado de carteras de Stratis, lee los archivos*.wallet.json, extrae los datos de la billetera y los filtra junto con la contraseña de la billetera para amenazar la infraestructura controlada por actores en Rusia en 176.113,82 [.] 163 ».
La empresa de seguridad de la cadena de suministro de software dijo que la amenaza utilizaba una serie de tácticas que le permitían eludir una revisión casual, como imitar al mantenedor legítimo mediante el uso de un nombre que difería en una sola letra («csnemes» frente a «csnemess»), el uso de caracteres parecidos al cirílico en el código fuente y ocultar la rutina maliciosa dentro de una función auxiliar genérica («Guard.notNull») que se utiliza durante ejecución regular del programa.
Una vez que un proyecto hace referencia al paquete malicioso, activa su comportamiento escaneando el directorio predeterminado de la cartera Stratis en Windows («%APPDATA%\\ StratisNode\\ stratis\\ StratisMain»), lee los archivos*.wallet.json y las contraseñas en memoria y los filtra a la dirección IP alojada en Rusia.
«Todas las excepciones se detectan de forma silenciosa, por lo que, incluso si la exfiltración falla, la aplicación host sigue ejecutándose sin ningún error visible, mientras que las llamadas exitosas filtran silenciosamente los datos del monedero a la infraestructura del actor de la amenaza», afirma Boychenko.
Socket dijo que la misma dirección IP se utilizó anteriormente en diciembre de 2023 en conexión con otro ataque de suplantación de identidad de NuGet en el que el actor de la amenaza publicó un paquete llamado «cleary.asyncExtensions» con el alias «stevencleary» e incorporó funciones para extraer las frases iniciales de las carteras. El paquete se denominó así para disfrazarse de Biblioteca NuGet de AsynceX .
Los hallazgos una vez ilustran cómo los typosquats maliciosos que reflejan herramientas legítimas pueden operar sigilosamente sin llamar la atención en los ecosistemas de repositorios de código abierto.
«Los defensores deben esperar ver una actividad similar y colocar implantes de seguimiento que amplíen este patrón», dijo Socket. «Entre los objetivos probables se incluyen otras integraciones de registro y rastreo, bibliotecas de validación de argumentos y paquetes de utilidades que son comunes en los proyectos.NET».