Investigadores de ciberseguridad han descubierto un nuevo paquete NuGet sagaz que escribe y se hace tener lugar por la popular biblioteca de rastreo .NET y su autor para infiltrarse en un carterista de billeteras de criptomonedas.
El paquete sagaz, denominado “Tracer.Fody.NLog”, permaneció en el repositorio durante casi seis primaveras. Fue publicado por un becario llamado “csnemess” el 26 de febrero de 2020. Se hace tener lugar por “Tracer.Fody”, mantenido por “csnemes”. El paquete continúa estando arreglado al momento de escribir este artículo y se ha descargado al menos 2000 veces, de las cuales 19 tuvieron superficie durante las últimas seis semanas para la lectura 3.2.4.
“Se presenta como una integración de rastreo .NET estereotipado, pero en verdad funciona como un carterista de billeteras de criptomonedas”, dijo el investigador de seguridad de Socket, Kirill Boychenko. “En el interior del paquete sagaz, el Tracer.Fody.dll integrado escanea el directorio predeterminado de la billetera Stratis, lee los archivos *.wallet.json, extrae los datos de la billetera y los filtra cercano con la contraseña de la billetera a la infraestructura controlada por el actor de amenazas en Rusia en 176.113.82(.)163”.
La compañía de seguridad de la prisión de suministro de software dijo que la amenaza aprovechó una serie de tácticas que le permitieron eludir una revisión casual, incluida la imitación del mantenedor probado mediante el uso de un nombre que difiere en una sola giro (“csnemes” frente a “csnemess”), el uso de caracteres cirílicos similares en el código fuente y la ocultación de la rutina maliciosa interiormente de una función auxiliar genérica (“Guard.NotNull”) que se utiliza durante la ejecución regular del software.
Una vez que un tesina hace narración al paquete sagaz, activa su comportamiento escaneando el directorio predeterminado de la billetera Stratis en Windows (“%APPDATA%StratisNodestratisStratisMain”), lee archivos *.wallet.json y contraseñas en memoria, y los extrae a la dirección IP alojada en Rusia.
“Todas las excepciones se detectan silenciosamente, por lo que incluso si la exfiltración equivocación, la aplicación host continúa ejecutándose sin ningún error visible, mientras que las llamadas exitosas filtran silenciosamente datos de la billetera a la infraestructura del actor de la amenaza”, dijo Boychenko.
Socket dijo que la misma dirección IP se utilizó anteriormente en diciembre de 2023 en relación con otro ataque de suplantación de identidad de NuGet en el que el actor de amenazas publicó un paquete llamado “Cleary.AsyncExtensions” bajo el apodo “stevencleary” e incorporó una funcionalidad para desviar frases iniciales de billetera. El paquete fue llamado para disfrazarse de la biblioteca AsyncEx NuGet.
Los hallazgos ilustran una vez cómo los typosquats maliciosos que reflejan herramientas legítimas pueden negociar sigilosamente sin atraer atención en los ecosistemas de repositorios de código franco.
“Los defensores deberían esperar ver una actividad similar e implantes posteriores que amplíen este patrón”, dijo Socket. “Los objetivos probables incluyen otras integraciones de registro y seguimiento, bibliotecas de acometividad de argumentos y paquetes de utilidades que son comunes en proyectos .NET”.
