Nuget

Pesquisadores de cibersegurança revelaram a descoberta de um novo pacote malicioso no NuGet Gallery, que se disfarça como uma biblioteca legítima da Stripe, visando o setor financeiro. O pacote, denominado StripeApi.Net, foi criado para imitar o Stripe.net, uma biblioteca autêntica com mais de 75 milhões de downloads. Carregado por um usuário chamado StripePayments em 16 de fevereiro de 2026, o pacote foi rapidamente removido após a denúncia. O site do pacote malicioso foi projetado para se assemelhar ao original, utilizando o mesmo ícone e uma descrição quase idêntica, apenas alterando referências de ‘Stripe.net’ para ‘Stripe-net’. Para aumentar sua credibilidade, o autor do ataque inflacionou artificialmente a contagem de downloads para mais de 180.000, distribuídos em 506 versões. Embora o pacote replicasse algumas funcionalidades da biblioteca legítima, ele modificava métodos críticos para coletar e transferir dados sensíveis, como o token da API da Stripe, para o atacante. A ReversingLabs, que identificou e reportou o pacote rapidamente, destacou que essa atividade representa uma mudança em relação a campanhas anteriores que visavam o ecossistema de criptomoedas. O incidente ressalta a necessidade de vigilância constante em bibliotecas de código aberto, especialmente em um cenário onde desenvolvedores podem inadvertidamente integrar pacotes comprometidos sem perceber.

Pesquisadores de cibersegurança descobriram quatro pacotes NuGet maliciosos que visam desenvolvedores de aplicações web ASP.NET, com o objetivo de roubar dados sensíveis. A campanha, identificada pela empresa Socket, exfiltra dados de identidade do ASP.NET, como contas de usuários e atribuições de papéis, além de manipular regras de autorização para criar backdoors persistentes nas aplicações das vítimas. Os pacotes, publicados entre 12 e 21 de agosto de 2024, foram baixados mais de 4.500 vezes antes de serem removidos. O pacote NCryptYo atua como um dropper de primeira fase, estabelecendo um proxy local que redireciona o tráfego para um servidor de comando e controle (C2) controlado pelo atacante. Os pacotes DOMOAuth2_ e IRAOAuth2.0 são responsáveis por roubar dados de identidade e backdoor, enquanto o SimpleWriter_ permite a execução de processos ocultos. A análise sugere que todos os pacotes foram criados pelo mesmo ator de ameaça, visando comprometer as aplicações em vez das máquinas dos desenvolvedores. A continuidade da exfiltração de dados ocorre mesmo após a implantação das aplicações maliciosas em produção, permitindo que atacantes obtenham acesso administrativo. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância constante na segurança de pacotes de código aberto.

Pesquisadores de cibersegurança descobriram um novo pacote NuGet malicioso que utiliza typosquatting para se passar pela popular biblioteca de rastreamento .NET, introduzindo um ladrão de carteiras de criptomoedas. Nomeado ‘Tracer.Fody.NLog’, o pacote foi publicado em 26 de fevereiro de 2020 e permaneceu no repositório por quase seis anos, sendo baixado mais de 2.000 vezes. O pacote se disfarça como ‘Tracer.Fody’, que é mantido por um autor legítimo, mas contém um código que escaneia diretórios de carteiras Stratis no Windows, extrai dados de carteiras e senhas, enviando essas informações para um servidor controlado por criminosos na Rússia. O ataque utiliza táticas sofisticadas para evitar detecções, como a imitação do nome do mantenedor legítimo e a ocultação de funções maliciosas em códigos comuns. O mesmo endereço IP já havia sido utilizado em um ataque anterior, demonstrando um padrão de comportamento de ameaças que pode se repetir em outras bibliotecas populares. A descoberta ressalta a importância da segurança na cadeia de suprimentos de software, especialmente em ambientes de código aberto.

A equipe de pesquisa de ameaças da Socket identificou nove pacotes NuGet maliciosos que incorporam cargas destrutivas com ativação programada, representando uma ameaça significativa para desenvolvedores .NET e sistemas de controle industrial (ICS). Publicados sob o pseudônimo shanhai666 entre 2023 e 2024, esses pacotes utilizam padrões legítimos para ocultar códigos de sabotagem que podem encerrar aplicações ou corromper operações anos após a instalação. Cada pacote malicioso contém cerca de 20 linhas de lógica destrutiva em meio a milhares de linhas de funcionalidade legítima. Após datas de ativação predefinidas, como 8 de agosto de 2027 e 29 de novembro de 2028, há uma probabilidade de 20% de que o código chame Process.GetCurrentProcess().Kill(), resultando em falhas abruptas nas aplicações. O pacote mais perigoso, Sharp7Extend, ataca sistemas de comunicação Siemens S7 PLC, podendo interromper processos e sabotando operações de gravação sem que os operadores percebam erros visíveis. A campanha, que já acumulou quase 9.500 downloads, utiliza táticas de typosquatting e evasão de IA para evitar detecções automáticas, tornando a identificação e a atribuição de responsabilidade extremamente difíceis. As organizações são aconselhadas a auditar projetos imediatamente e a implementar ferramentas de verificação de dependências para mitigar esses riscos.

Um conjunto de nove pacotes maliciosos do NuGet foi identificado como capaz de implantar cargas úteis com atraso para sabotar operações de banco de dados e corromper sistemas de controle industrial. Publicados entre 2023 e 2024 por um usuário identificado como ‘shanhai666’, esses pacotes foram baixados quase 9.500 vezes. O pacote mais perigoso, Sharp7Extend, visa controladores lógicos programáveis (PLCs) industriais, utilizando dois mecanismos de sabotagem: a terminação aleatória de processos e falhas silenciosas de gravação que ocorrem entre 30 a 90 minutos após a instalação. Os pacotes maliciosos foram projetados para ativar códigos maliciosos em datas específicas, em 2027 e 2028, dificultando a resposta a incidentes e a investigação forense. A análise do código-fonte sugere que o autor pode ter origem chinesa, e a combinação de técnicas sofisticadas torna este ataque uma preocupação significativa para desenvolvedores e empresas que utilizam essas bibliotecas. A remoção dos pacotes do NuGet não elimina o risco, pois muitos desenvolvedores podem não estar cientes da introdução do malware em seus projetos.

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos que visa o gerenciador de pacotes NuGet, utilizando typosquats maliciosos da plataforma Nethereum, que integra o Ethereum com .NET. O pacote malicioso, denominado Netherеum.All, foi projetado para decodificar um ponto de controle e comando (C2) e exfiltrar frases mnemônicas, chaves privadas e dados de armazenamento de carteiras. O pacote foi carregado por um usuário chamado ’nethereumgroup’ em 16 de outubro de 2025 e removido quatro dias depois por violar os termos de uso do NuGet. O ataque se destaca pelo uso de um homoglyph cirílico que substitui a letra ’e’, enganando desenvolvedores desavisados. Além disso, os atacantes inflaram artificialmente as contagens de download, alegando 11,7 milhões de downloads, o que é um sinal de alerta, já que é improvável que uma nova biblioteca alcance tal número rapidamente. A principal funcionalidade maliciosa está em uma função chamada EIP70221TransactionService.Shuffle, que extrai dados sensíveis da carteira do usuário. Este incidente ressalta a vulnerabilidade do NuGet, que não impõe restrições rigorosas sobre esquemas de nomenclatura, ao contrário de outros repositórios de código aberto. Para mitigar riscos, os usuários devem verificar cuidadosamente as bibliotecas antes de baixá-las e monitorar o tráfego de rede anômalo.