Investigadores de ciberseguridad han descubierto un nuevo ataque a la cadena de suministro dirigido al administrador de paquetes NuGet de la popular plataforma de integración Ethereum .NET Nethereum con typosquats maliciosos para robar las claves de las billeteras de criptomonedas de las víctimas.
Según la firma de seguridad Socket, se descubrió que el paquete ‘Netherеum.All’ contiene una funcionalidad que decodifica puntos finales de comando y control (C2) y filtra frases mnemotécnicas, claves privadas y datos del almacén de claves.
Esta biblioteca fue cargada el 16 de octubre de 2025 por un usuario llamado ‘nethereumgroup’. Cuatro días después, fue eliminado de NuGet por violar los términos de servicio.
Lo notable del paquete NuGet es que reemplaza la última aparición de la letra «e» con la letra isomorfa cirílica «e» (U+0435) para engañar a los desarrolladores desprevenidos para que lo descarguen.
En un nuevo intento de aumentar la credibilidad del paquete, los atacantes inflaron artificialmente las cifras de descargas, afirmando que el paquete se había descargado 11,7 millones de veces. Esta es una gran señal de alerta considerando que es poco probable que una biblioteca nueva registre cifras tan altas en un período de tiempo tan corto.
«Un atacante podría publicar muchas versiones, programar la descarga de cada .nupkg a través de un contenedor plano v3 o un bucle nuget.exe y restaurar dotnet usando la opción sin caché desde el host de la nube», dijo el investigador de seguridad Kirill Boichenko. «Rotar IP y agentes de usuario y paralelizar solicitudes mejora el volumen y evita el almacenamiento en caché del cliente».
«El resultado son paquetes que parecen ‘populares’ y tienen una buena clasificación en las búsquedas ordenadas por relevancia, lo que brinda a los desarrolladores evidencia falsa cuando miran los números».
La carga útil principal dentro del paquete NuGet está dentro de una función denominada EIP70221TransactionService.Shuffle. Esta función analiza la cadena codificada XOR para extraer el servidor C2 (solananetworkinstance(.)info/api/gads) y filtra los datos confidenciales de la billetera al atacante.
Se descubrió que el actor de amenazas había subido otro paquete NuGet llamado ‘NethereumNet’ con la misma funcionalidad maliciosa a principios de mes. El equipo de seguridad de NuGet ya lo eliminó.
Este no es el primer typosquat isomórfico descubierto en el repositorio de NuGet. En julio de 2024, ReversingLabs documentó detalles de varios paquetes que se hacían pasar por paquetes legítimos al reemplazar ciertos elementos con elementos equivalentes para evadir una inspección casual.
A diferencia de otros repositorios de paquetes de código abierto como PyPI, npm, Maven Central, Go Module y RubyGems que imponen restricciones a los esquemas de nombres en ASCII, NuGet no tiene restricciones aparte de prohibir espacios y caracteres URL inseguros, lo que abre la puerta al abuso.
Para mitigar tales riesgos, los usuarios deben examinar cuidadosamente las bibliotecas antes de descargarlas, lo que incluye verificar la identidad del editor y los picos repentinos en las descargas, y monitorear el tráfico de red inusual.
Source link
