Pacotes maliciosos no NuGet visam desenvolvedores ASP.NET

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança descobriram quatro pacotes NuGet maliciosos que visam desenvolvedores de aplicações web ASP.NET, com o objetivo de roubar dados sensíveis. A campanha, identificada pela empresa Socket, exfiltra dados de identidade do ASP.NET, como contas de usuários e atribuições de papéis, além de manipular regras de autorização para criar backdoors persistentes nas aplicações das vítimas. Os pacotes, publicados entre 12 e 21 de agosto de 2024, foram baixados mais de 4.500 vezes antes de serem removidos. O pacote NCryptYo atua como um dropper de primeira fase, estabelecendo um proxy local que redireciona o tráfego para um servidor de comando e controle (C2) controlado pelo atacante. Os pacotes DOMOAuth2_ e IRAOAuth2.0 são responsáveis por roubar dados de identidade e backdoor, enquanto o SimpleWriter_ permite a execução de processos ocultos. A análise sugere que todos os pacotes foram criados pelo mesmo ator de ameaça, visando comprometer as aplicações em vez das máquinas dos desenvolvedores. A continuidade da exfiltração de dados ocorre mesmo após a implantação das aplicações maliciosas em produção, permitindo que atacantes obtenham acesso administrativo. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância constante na segurança de pacotes de código aberto.

Fonte: https://thehackernews.com/2026/02/malicious-nuget-packages-stole-aspnet.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
25/02/2026 • Risco: ALTO
MALWARE

Pacotes maliciosos no NuGet visam desenvolvedores ASP.NET

RESUMO EXECUTIVO
O incidente revela a vulnerabilidade de desenvolvedores que utilizam pacotes NuGet, com potenciais consequências legais e financeiras. A exfiltração de dados sensíveis e a criação de backdoors em aplicações são riscos que podem impactar diretamente a segurança e a conformidade das empresas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e compromissos de segurança.
Operacional
Roubo de dados de identidade e criação de backdoors em aplicações.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Mais de 4.500 downloads dos pacotes maliciosos. Indicador
Pacotes publicados em um intervalo de 9 dias. Contexto BR
Estabelecimento de um proxy local em localhost:7152. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se pacotes NuGet maliciosos estão instalados em projetos ASP.NET.
2 Remover pacotes suspeitos e revisar as dependências do projeto.
3 Monitorar atividades de rede e logs de acesso em aplicações ASP.NET para detectar comportamentos anômalos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em um cenário onde pacotes maliciosos podem comprometer aplicações em produção.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e à proteção de dados pessoais.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).