Pacote NuGet malicioso exfiltra senhas e chaves de carteiras Stratis

O pacote NuGet Tracer.Fody.NLog — publicado desde 2020 e baixado cerca de 2.000 vezes — foi identificado como malicioso. Ele se injeta em um helper genérico, extrai senhas e arquivos wallet.json do diretório Stratis e exfiltra dados para um servidor remoto. A campanha usa typosquatting e homoglyphs para evitar detecção; não há ainda inventário público de projetos afetados.

Descoberta e escopo / O que mudou agora

Um pacote NuGet chamado Tracer.Fody.NLog, publicado em 2020 e disponível por anos com cerca de 2.000 downloads, foi identificado como malicioso por analistas do Socket.dev. O pacote se passava por uma biblioteca legítima de tracing e permaneceu em repositórios públicos até ser detectado.

Vetor e exploração / Mitigações

O actor usou typosquatting (nome de usuário quase idêntico) e metadata espelhada para enganar desenvolvedores. O código malicioso se anexa a um helper genérico (Guard.NotNull), ativa a extração quando encontra objetos com propriedade WalletPassword e usa reflection para localizar arquivos de carteira Stratis em %APPDATA%\StratisNode\stratis\StratisMain.

Após localizar wallet.json, o pacote truncava e exfiltrava chaves e senha para um IP de comando e controle vinculado a servidores na Rússia. O componente foi projetado para passar despercebido, empregando técnicas como homoglyphs (caracteres cirílicos visualmente semelhantes) para dificultar revisão manual.

Impacto e alcance / Setores afetados

O ataque é um caso de supply chain contra projetos .NET: dependências de desenvolvimento e pipelines CI podem propagar código malicioso para ambientes de produção e estações de desenvolvedores. O foco declarado do malware são carteiras Stratis, o que expõe diretamente usuários e serviços que manipulam esses ativos.

Limites das informações / O que falta saber

Não há no relatório público um inventário completo de projetos que consumiram o pacote nem confirmação sobre comprometimento em larga escala. O número de downloads (≈2.000) indica potencial exposição, mas não quantifica impactos em pipelines corporativos.

Repercussão / Próximos passos

Equipes de desenvolvimento devem auditar dependências, verificar origens e autores de pacotes, e usar mecanismos de validação (assinatura de pacotes, verificação de integridade) nos pipelines. Projetos que usam Tracer.Fody‑like devem inspecionar repositórios e credenciais de carteira para sinais de exfiltração.

Fonte: Cyber Security News (reportagem baseada em análise do Socket.dev).