Hack Alerta

Pacotes maliciosos no NuGet visam credenciais e carteiras de criptomoedas

Por Redação Hack Alerta Publicado em 07/05/2026 08:06 Riscos e Ameaças Tempo de leitura: 5 min

Pacotes maliciosos no NuGet roubam credenciais e criptomoedas. Campanha afeta desenvolvedores .NET e exige rotação de chaves e monitoramento de dependências.

Descoberta e escopo da campanha

Uma nova onda de pacotes maliciosos foi identificada no ecossistema NuGet, um dos repositórios mais utilizados por desenvolvedores .NET. Cinco pacotes falsos foram descobertos se passando por bibliotecas legítimas de software chinês, com o objetivo de roubar credenciais de navegadores, chaves privadas SSH e dados de carteiras de criptomoedas. A campanha, atribuída a um único ator de ameaças, acumulou mais de 64 mil downloads antes de ser detectada.

Os pacotes maliciosos foram publicados sob uma conta chamada bmrxntfj e utilizam técnicas de ofuscação avançadas para evitar detecção por ferramentas de análise estática. A persistência da campanha, que remonta a setembro de 2025, destaca a necessidade de monitoramento contínuo da cadeia de suprimentos de software.

Vetor e exploração

O ataque ocorre durante o processo de restauração de pacotes em projetos .NET. Ao incluir um dos pacotes maliciosos no arquivo de projeto, o ambiente de desenvolvimento baixa e instala o código comprometido. O payload é ativado através de um inicializador de módulo .NET, que executa automaticamente quando a montagem é carregada, sem necessidade de interação do usuário.

Uma vez ativado, o malware utiliza técnicas de hooking de JIT para interceptar a compilação de métodos, ganhando controle sobre o fluxo de execução. Um segundo estágio, identificado como we4ftg.exe, é então executado para coletar dados sensíveis do sistema comprometido.

Impacto e alcance

O impacto desta campanha é significativo, pois afeta diretamente desenvolvedores e sistemas de CI/CD. As máquinas que restauraram esses pacotes podem ter suas credenciais expostas, incluindo senhas de navegadores, chaves SSH e sementes de carteiras de criptomoedas. O alcance estimado inclui dezenas de milhares de máquinas de desenvolvedores e servidores de build.

Os pacotes visam especificamente extensões de navegador como MetaMask, TronLink e Phantom, além de aplicativos de desktop como Exodus e Ledger. A coleta de dados é feita de forma silenciosa e os arquivos são armazenados em um caminho que imita o diretório do OneDrive da Microsoft para evitar suspeitas.

Repercussão e análise técnica

A análise técnica revelou que os pacotes maliciosos utilizam uma técnica de rotação de versões para evitar detecção baseada em hash. Das 224 versões publicadas, 219 foram ocultadas da busca pública, mantendo apenas uma versão visível. Isso força as equipes de segurança a atualizarem constantemente suas listas de bloqueio.

A infraestrutura de comando e controle (C2) é hospedada em um servidor em Amsterdã, com nomeservers registrados através de um provedor de privacidade. A atribuição do ataque foi confirmada através de uma chave RSA-1024 embutida em cada pacote, que também apareceu em outros arquivos maliciosos no VirusTotal.

Medidas de mitigação recomendadas

Para mitigar os riscos desta campanha, as organizações devem adotar as seguintes práticas:

  • Verificação de Pacotes: Revisar arquivos de projeto e lock files em busca de referências aos pacotes maliciosos (IR.DantUI, IR.Infrastructure.Core, etc.).
  • Rotação de Credenciais: Tratar qualquer máquina que restaurou esses pacotes como comprometida e rotacionar todas as credenciais, chaves SSH e sementes de carteira.
  • Monitoramento de Rede: Configurar alertas para conexões aos domínios de C2 identificados e monitorar a criação de arquivos no caminho de staging do malware.
  • Política de Dependências: Implementar políticas de aprovação de pacotes de terceiros antes da instalação em ambientes de produção.

Implicações para a Cadeia de Suprimentos

Este incidente reforça a necessidade de uma gestão rigorosa da cadeia de suprimentos de software. As organizações devem considerar o uso de repositórios privados e mirrorings de pacotes públicos para aumentar o controle sobre as dependências. Além disso, a implementação de ferramentas de análise de segurança de software (SAST) e análise de dependências (SCA) é essencial para detectar pacotes maliciosos antes da execução.

O que os CISOs devem fazer imediatamente

Os CISOs devem priorizar a varredura de todos os repositórios de código e ambientes de desenvolvimento em busca dos pacotes maliciosos. É crucial revisar os logs de build para identificar quais projetos foram afetados e notificar os desenvolvedores envolvidos. A implementação de uma política de "confiança zero" para dependências de terceiros deve ser considerada como medida preventiva futura.

Perguntas frequentes

Como identificar se meu projeto foi afetado? Verifique os arquivos de projeto (.csproj, .sln) e o arquivo de lock em busca dos nomes dos pacotes maliciosos.

Os pacotes são detectáveis por antivírus? Muitos antivírus tradicionais podem não detectar o malware devido às técnicas de ofuscação e rotação de versões.

É seguro usar o NuGet? Sim, mas é necessário implementar controles de segurança adicionais, como verificação de integridade e monitoramento de tráfego de rede.

Baseado em publicação original de Cybersecurity News
Tags: #=nuget #malware #cadeia de suprimentos #criptomoedas #credenciais #dotnet #seguranca #ataque #devsecops
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar