Investigadores de ciberseguridad han descubierto un nuevo paquete NuGet malicioso que comete errores tipográficos y se hace pasar por la popular biblioteca de rastreo .NET y su autor para infiltrarse en un ladrón de billeteras de criptomonedas.
El paquete malicioso, denominado “Tracer.Fody.NLog”, permaneció en el repositorio durante casi seis años. Fue publicado el 26 de febrero de 2020 por un usuario llamado “csnemess”. Se disfraza de “Tracer.Fody”, administrado por “csnemes”. El paquete sigue disponible al momento de escribir este artículo y se ha descargado al menos 2000 veces, incluidas 19 veces en las últimas seis semanas para la versión 3.2.4.
“Se presenta como una integración de rastreo .NET estándar, pero en realidad actúa como un ladrón de billeteras de criptomonedas”, dijo el investigador de seguridad de Socket Kirill Boychenko. “En el paquete malicioso, el Tracer.Fody.dll integrado escanea el directorio predeterminado de la billetera Stratis, lee los archivos *.wallet.json, extrae los datos de la billetera y los filtra junto con la contraseña de la billetera para amenazar la infraestructura controlada por el actor en Rusia en 176.113.82(.)163”.
La compañía de seguridad de la cadena de suministro de software dijo que la amenaza aprovechó una serie de tácticas que le permitieron evadir la inspección aleatoria, incluida la imitación del mantenedor legítimo mediante el uso de un nombre que difiere en una sola letra (“csnemes” frente a “csnemess”), el uso de caracteres cirílicos en el código fuente y la ocultación de la rutina maliciosa en una función auxiliar genérica (“Guard.NotNull”), que se utiliza durante la ejecución normal del programa.
Una vez que un proyecto hace referencia al paquete malicioso, activa su comportamiento escaneando el directorio predeterminado de la billetera Stratis en Windows (“%APPDATA%\\StratisNode\\stratis\\StratisMain”), leyendo archivos *.wallet.json y contraseñas en memoria, y exfiltrándolos a la dirección IP alojada en Rusia.
“Todas las excepciones se detectan silenciosamente. Incluso si la exfiltración falla, la aplicación host continúa ejecutándose sin errores visibles, mientras que las llamadas exitosas pasan silenciosamente los datos de la billetera a la infraestructura del actor de la amenaza”, dijo Boychenko.
Socket dijo que la misma dirección IP se utilizó anteriormente en diciembre de 2023 en relación con otro ataque de suplantación de NuGet, en el que el actor de amenazas lanzó un paquete llamado “Cleary.AsyncExtensions” bajo el alias “stevencleary” e incorporó capacidades de desvío de frases iniciales de billetera. El paquete recibió un nombre que se disfrazó de biblioteca AsyncEx NuGet.
Los resultados ilustran una vez más cómo los typosquats maliciosos que reflejan herramientas legítimas pueden operar sigilosamente sin llamar la atención en todo el ecosistema de repositorios de código abierto.
“Los abogados defensores deberían esperar una actividad similar e implantes posteriores que amplíen este patrón”, dijo Socket. “Los objetivos probables incluyen otras integraciones de registro y seguimiento, bibliotecas de validación de argumentos y paquetes de utilidades comunes en proyectos .NET”.
About The Author
