Investigadores de ciberseguridad han descubierto un nuevo paquete NuGet malicioso que escribe y se hace pasar por la popular biblioteca de rastreo .NET y su creador para colarse en los ladrones de billeteras de criptomonedas.
El paquete malicioso denominado “Tracer.Fody.NLog” permaneció en el repositorio durante casi seis años. Esto fue publicado el 26 de febrero de 2020 por un usuario llamado ‘csnemess’. Se hace pasar por ‘Tracer.Fody’ administrado por ‘csnemes’. El paquete sigue disponible al momento de escribir este artículo y se ha descargado al menos 2000 veces, 19 de las cuales fueron en las últimas 6 semanas para la versión 3.2.4.
«Pretende ser una integración de rastreo .NET estándar, pero en realidad actúa como un ladrón de billeteras criptográficas», dijo el investigador de seguridad de sockets Kirill Boychenko. «Dentro del paquete malicioso, el Tracer.Fody.dll integrado escanea el directorio predeterminado de la billetera Stratis, lee el archivo *.wallet.json, extrae los datos de la billetera y los filtra junto con la contraseña de la billetera a la infraestructura controlada por el actor ruso (176.113.82(.)163)».
La firma de seguridad de la cadena de suministro de software dijo que la amenaza utilizó una serie de tácticas que le permitieron evadir una revisión casual, incluida la imitación de mantenedores legítimos usando nombres con una letra de diferencia (‘csnemes’ vs. ‘csnemess’), usando caracteres cirílicos similares en el código fuente y ocultando la rutina maliciosa dentro de una función auxiliar genérica (‘Guard.NotNull’) utilizada durante la ejecución normal del programa.
Cuando el proyecto hace referencia al paquete malicioso, comienza a funcionar escaneando el directorio predeterminado de la billetera Stratis en Windows («%APPDATA%\\StratisNode\\stratis\\StratisMain»), leyendo el archivo *.wallet.json y la contraseña en la memoria, y exfiltrándolos a una dirección IP alojada en Rusia.
«Todas las excepciones se detectan silenciosamente, por lo que incluso si el retiro falla, la aplicación host continúa ejecutándose sin errores visibles, y si la llamada tiene éxito, los datos de la billetera se filtran silenciosamente a la infraestructura del actor de la amenaza», dijo Boichenko.
Según Socket, la misma dirección IP se utilizó anteriormente en relación con otro ataque de suplantación de identidad de NuGet en diciembre de 2023, en el que el actor de amenazas publicó un paquete llamado «Cleary.AsyncExtensions» bajo el alias «stevencleary» que incluía la capacidad de desviar frases iniciales de billetera. Este paquete se llama para hacerse pasar por la biblioteca AsyncEx NuGet.
Nuestros hallazgos demuestran cómo los typosquats maliciosos que reflejan herramientas legítimas operan de manera encubierta y sin llamar la atención en todo el ecosistema de repositorios de código abierto.
«Los defensores deberían esperar ver una actividad similar e implantes posteriores que amplíen este patrón», dijo Socket. «Los posibles objetivos incluyen otras integraciones de registro y seguimiento, bibliotecas de validación de argumentos y paquetes de utilidades comunes en proyectos .NET».
Source link
