NuGet paket ekosistemi aracılığıyla kripto para birimi geliştiricilerini hedef alan karmaşık bir tedarik zinciri saldırısı ortaya çıktı.
Siber güvenlik araştırmacıları, on milyonlarca indirmeye sahip Ethereum blockchain etkileşimleri için yaygın olarak güvenilen bir .NET kitaplığı olan Nethereum’u taklit eden kötü amaçlı paketleri ortaya çıkardı.
Netherеum.All ve NethereumNet olarak tanımlanan sahte paketler, özel anahtarlar, anımsatıcılar, anahtar deposu JSON dosyaları ve imzalı işlem verileri dahil olmak üzere hassas cüzdan kimlik bilgilerini sızdırmak için gelişmiş gizleme teknikleri kullanıyor.
Saldırı, Netherеum.All paket adındaki Latince “e” harfini görsel olarak aynı Kiril karakteriyle (U+0435) değiştiren bir homoglif yazım hatası tekniğinden yararlanıyor.
Bu ince Unicode değişikliği, sahte paketi sıradan inceleme sırasında meşru Nethereum kütüphanesinden neredeyse ayırt edilemez hale getiriyor.
Kötü amaçlı paket ilk olarak 16 Ekim 2025’te yayınlandı ve NuGet, güvenlik raporları aldıktan sonra 20 Ekim 2025’te kaldırıncaya kadar etkin kaldı.
Socket.dev analistleri, tehdidi rutin tarama işlemleri sırasında belirledi ve iki NuGet yayıncı takma adı altında faaliyet gösteren tek bir tehdit aktörünün koordineli bir kampanyasını ortaya çıkardı: nethereumgroup ve NethereumCsharp.
.webp)
Her iki kötü amaçlı paket de aynı sızma mekanizmalarını içeriyordu ve yapay indirme şişirme taktiklerini kullanıyordu; Netherеum.All, yayınlandıktan sonraki birkaç gün içinde inanılmaz bir 11,6 milyon indirme sayısı sergiledi.
Üretilen bu popülerlik ölçütü, sahte bir meşruiyet duygusu yarattı ve potansiyel olarak geliştiricileri paket seçimi sırasında aldattı.
Paketler işlevsel göründü ve Nethereum.Hex, Nethereum.Signer ve Nethereum.Util gibi gerçek Nethereum bağımlılıklarına atıfta bulunarak normal derlemeyi ve beklenen Ethereum işlemlerini sağladı.
Ancak kötü amaçlı kod, cüzdanla ilgili belirli işlevler çalıştırılana ve gizli sızma mekanizmasını etkinleştirene kadar hareketsiz kaldı.
Teknik Mekanizma ve Yük Analizi
Kötü amaçlı yazılımın temel işlevi, çalışma zamanında komut ve kontrol uç noktasını ortaya çıkarmak için konum tabanlı bir XOR kod çözme rutini uygulayan EIP70221TransactionService.Shuffle’da bulunur.
Gizlenmiş tohum dizesi, 44 baytlık bir maskeyle XOR işlemlerine tabi tutulur ve https://solananetworkinstance olarak kod çözülür.[.]bilgi/api/yıl.
M-cüzdan işlemleri yürütüldüğünde, kötü amaçlı yöntem hassas verileri yakalar ve bunu “mesaj” adlı bir form alanıyla HTTPS POST isteği aracılığıyla iletir ve meşru blockchain etkileşimlerinin görünümünü korurken kimlik bilgilerini etkili bir şekilde çalar.
Saldırı, güvenlik kontrollerini atlamak ve kripto para birimi varlıklarını hedeflemek için Unicode homogliflerini, indirme manipülasyonunu ve çalışma zamanı gizlemeyi birleştiren karmaşık tedarik zinciri uzlaşma taktiklerini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
