Siber güvenlik araştırmacıları, kurbanların kripto para birimi cüzdan anahtarlarını çalmak için, popüler bir Ethereum .NET entegrasyon platformu olan Nethereum’da kötü niyetli yazım hatası yapan NuGet paket yöneticisini hedef alan yeni bir tedarik zinciri saldırısını ortaya çıkardı.
Güvenlik şirketi Socket’e göre Netherеum.All paketinin, bir komut ve kontrol (C2) uç noktasının kodunu çözmeye ve anımsatıcı ifadeleri, özel anahtarları ve anahtar deposu verilerini sızdırmaya yönelik işlevsellik barındırdığı bulundu.
Kütüphane, 16 Ekim 2025’te “nethereumgroup” adlı bir kullanıcı tarafından yüklendi. Dört gün sonra hizmetin Kullanım Koşullarını ihlal ettiği gerekçesiyle NuGet’ten kaldırıldı.
NuGet paketinin dikkate değer yanı, şüphelenmeyen geliştiricileri onu indirmeye ikna etmek için “e” harfinin son geçtiği yeri Kiril alfabesindeki “e” (U+0435) homoglifiyle değiştirmesidir.
Paketin güvenilirliğini artırmak için başka bir girişimde, tehdit aktörleri, paketin 11,7 milyon kez indirildiğini iddia ederek indirme sayılarını yapay olarak artırmaya başvurdu; tamamen yeni bir kütüphanenin kısa bir süre içinde bu kadar yüksek bir sayıya ulaşmasının pek mümkün olmadığı göz önüne alındığında bu büyük bir tehlike işareti.
Güvenlik araştırmacısı Kirill Boychenko, “Bir tehdit aktörü birçok sürümü yayınlayabilir, ardından v3 düz kapsayıcı veya döngü nuget.exe kurulumu aracılığıyla her .nupkg dosyasının komut dosyasını indirebilir ve bulut ana bilgisayarlarından önbelleksiz seçeneklerle dotnet geri yüklemesi yapabilir” dedi. “IP’leri ve kullanıcı aracılarını dönüşümlü kullanmak ve istekleri paralelleştirmek, istemci önbelleklerinden kaçınırken hacmi artırır.”
“Sonuç olarak ‘popüler’ görünen, ilgiye göre sıralanan aramalarda yerleşimi artıran ve geliştiriciler sayılara baktığında yanlış bir kanıt hissi veren bir paket ortaya çıktı.”
NuGet paketindeki ana veri, C2 sunucusunu (solananetworkinstance) çıkarmak için XOR kodlu bir dizeyi ayrıştıran EIP70221TransactionService.Shuffle adlı bir işlevin içindedir.[.]info/api/gads) ve hassas cüzdan verilerini saldırgana sızdırır.
Tehdit aktörünün daha önce ay başında aynı yanıltıcı işlevselliğe sahip “NethereumNet” adlı başka bir NuGet paketi yüklediği tespit edildi. NuGet güvenlik ekibi tarafından zaten kaldırıldı.
Bu, NuGet deposunda tespit edilen ilk homoglif yazım hatası değil. Temmuz 2024’te ReversingLabs, sıradan incelemeyi atlamak için belirli öğeleri eşdeğerleriyle değiştirerek meşru benzerlerinin kimliğine bürünen çeşitli paketlerin ayrıntılarını belgeledi.
PyPI, npm, Maven Central, Go Module ve RubyGems gibi ASCII adlandırma şemasında kısıtlamalar uygulayan diğer açık kaynaklı paket depolarından farklı olarak NuGet, boşlukları ve güvenli olmayan URL karakterlerini yasaklamaktan başka böyle bir kısıtlama koymaz ve kötüye kullanıma kapı açar.
Bu tür riskleri azaltmak için kullanıcılar, yayıncı kimliğini ve ani indirme artışlarını doğrulamak da dahil olmak üzere kitaplıkları indirmeden önce dikkatlice incelemeli ve anormal ağ trafiğini izlemelidir.