Siber güvenlik araştırmacıları, bir kripto para birimi cüzdan hırsızına gizlice girmek için popüler .NET izleme kitaplığını ve onun yazarını yanlış kullanan ve taklit eden yeni bir kötü amaçlı NuGet paketi keşfetti.
“Tracer.Fody.NLog” adlı kötü amaçlı paket yaklaşık altı yıl boyunca depoda kaldı. 26 Şubat 2020’de “csnemess” adlı bir kullanıcı tarafından yayınlandı. “csnemes” tarafından bakımı yapılan “Tracer.Fody” kılığına giriyor. Paket, yazıldığı an itibarıyla mevcut olmaya devam ediyor ve en az 2.000 kez indirildi; bunların 19’u, son altı hafta içinde 3.2.4 sürümü için gerçekleşti.
Soket güvenlik araştırmacısı Kirill Boychenko, “Kendisini standart bir .NET izleme entegrasyonu olarak tanıtıyor ancak gerçekte bir kripto para cüzdanı hırsızı olarak işlev görüyor” dedi. “Kötü amaçlı paketin içindeki yerleşik Tracer.Fody.dll, varsayılan Stratis cüzdan dizinini tarar, *.wallet.json dosyalarını okur, cüzdan verilerini çıkarır ve bunları cüzdan şifresiyle birlikte sızdırarak Rusya’daki 176.113.82 adresindeki aktör kontrollü altyapıyı tehdit eder.[.]163.”
Yazılım tedarik zinciri güvenlik şirketi, tehdidin, tek bir harfle farklılık gösteren bir ad (“csnemes” ve “csnemess”) kullanarak meşru bakımcıyı taklit etmek, kaynak kodunda Kiril alfabesine benzeyen karakterler kullanmak ve kötü niyetli rutini, normal program yürütme sırasında kullanılan genel bir yardımcı işlev (“Guard.NotNull”) içinde gizlemek dahil olmak üzere, sıradan incelemeden kaçmasına izin veren bir dizi taktikten yararlandığını söyledi.
Bir proje kötü amaçlı pakete referans verdiğinde, Windows’taki varsayılan Stratis cüzdan dizinini (“%APPDATA%\\StratisNode\\stratis\\StratisMain”) tarayarak davranışını etkinleştirir, *.wallet.json dosyalarını ve bellek içi şifreleri okur ve bunları Rusya’da barındırılan IP adresine sızdırır.
Boychenko, “Tüm istisnalar sessizce yakalanıyor, dolayısıyla sızma başarısız olsa bile ana bilgisayar uygulaması herhangi bir görünür hata olmadan çalışmaya devam ederken, başarılı çağrılar cüzdan verilerini sessizce tehdit aktörünün altyapısına sızdırıyor” dedi.
Socket, aynı IP adresinin daha önce Aralık 2023’te, tehdit aktörünün “stevencleary” takma adı altında “Clear.AsyncExtensions” adlı bir paket yayınladığı ve cüzdan tohum ifadelerini sifonlamak için işlevsellik kattığı başka bir NuGet kimliğe bürünme saldırısıyla bağlantılı olarak kullanıma sunulduğunu söyledi. Paketin kendisini AsyncEx NuGet kitaplığı olarak gizlemesi gerekiyordu.
Bulgular, meşru araçları yansıtan kötü niyetli yazım hatalarının, açık kaynak kodlu veri deposu ekosistemlerinde herhangi bir dikkat çekmeden nasıl gizlice çalışabildiğini gösteriyor.
Socket, “Savunucuların benzer aktiviteyi ve bu modeli genişleten takip implantlarını görmeyi beklemeleri gerekir” dedi. “Muhtemel hedefler arasında diğer günlüğe kaydetme ve izleme entegrasyonları, bağımsız değişken doğrulama kitaplıkları ve .NET projelerinde yaygın olan yardımcı program paketleri yer alır.”