Gói NuGet giả mạo Tracer.Fody, đánh cắp dữ liệu ví tiền điện tử

[T-X]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói NuGet độc hại mới sử dụng lỗi chính tả và giả mạo thư viện theo dõi .NET phổ biến cùng tác giả của nó để lén lút cài đặt phần mềm đánh cắp ví tiền điện tử.

Gói phần mềm độc hại có tên " Tracer.Fody.NLog " đã tồn tại trên kho lưu trữ gần sáu năm. Nó được một người dùng có tên "csnemess" công bố vào ngày 26 tháng 2 năm 2020. Nó giả mạo là " Tracer.Fody ", được duy trì bởi " csnemes ". Gói phần mềm này vẫn còn khả dụng tính đến thời điểm viết bài này và đã được tải xuống ít nhất 2.000 lần, trong đó có 19 lần tải xuống trong sáu tuần qua đối với phiên bản 3.2.4.

"Nó tự xưng là một công cụ tích hợp theo   Đăng nhập để xem liên kết tiêu chuẩn nhưng trên thực tế lại hoạt động như một phần mềm đánh cắp ví tiền điện tử," nhà nghiên cứu bảo mật Kirill Boychenko của Socket cho biết. "Bên trong gói phần mềm độc hại, Tracer.Fody.dll được nhúng sẽ quét thư mục ví Stratis mặc định, đọc các tệp *.wallet.json, trích xuất dữ liệu ví và chuyển chúng cùng với mật khẩu ví đến cơ sở hạ tầng do kẻ tấn công kiểm soát ở Nga tại địa chỉ 176.113.82[.]163."

Công ty bảo mật chuỗi cung ứng phần mềm cho biết mối đe dọa này đã tận dụng một số chiến thuật cho phép nó né tránh sự kiểm tra sơ bộ, bao gồm việc bắt chước người bảo trì hợp pháp bằng cách sử dụng tên chỉ khác một chữ cái ("csnemes" so với "csnemess"), sử dụng các ký tự giống chữ Cyrillic trong mã nguồn và ẩn đoạn mã độc hại bên trong một hàm trợ giúp chung ("Guard.NotNull") được sử dụng trong quá trình thực thi chương trình thông thường.

Khi một dự án tham chiếu đến gói phần mềm độc hại, nó sẽ kích hoạt hoạt động của mình bằng cách quét thư mục ví Stratis mặc định trên Windows ("%APPDATA%\\StratisNode\\stratis\\StratisMain"), đọc các tệp *.wallet.json và mật khẩu trong bộ nhớ, sau đó chuyển chúng đến địa chỉ IP được lưu trữ tại Nga.

"Tất cả các ngoại lệ đều được xử lý âm thầm, vì vậy ngay cả khi quá trình đánh cắp dữ liệu thất bại, ứng dụng chủ vẫn tiếp tục chạy mà không có lỗi nào hiển thị, trong khi các cuộc gọi thành công sẽ âm thầm làm rò rỉ dữ liệu ví điện tử vào cơ sở hạ tầng của kẻ tấn công", Boychenko cho biết.

Socket cho biết địa chỉ IP tương tự đã được sử dụng trước đó vào tháng 12 năm 2023 liên quan đến một cuộc tấn công mạo danh NuGet khác, trong đó kẻ tấn công đã phát hành một gói có tên "Cleary.AsyncExtensions" dưới bí danh "stevencleary" và tích hợp chức năng đánh cắp cụm từ hạt giống ví. Gói này được đặt tên như vậy để ngụy trang thành thư viện NuGet AsyncEx.

Những phát hiện này một lần nữa minh họa cách các phần mềm độc hại giả mạo các công cụ hợp pháp có thể hoạt động lén lút mà không thu hút bất kỳ sự chú ý nào trong hệ sinh thái kho lưu trữ mã nguồn mở.

Socket cho biết: "Các chuyên gia phòng thủ nên chuẩn bị tinh thần để thấy các hoạt động tương tự và các phần mềm độc hại tiếp theo mở rộng mô hình này. Các mục tiêu tiềm năng bao gồm các tích hợp ghi nhật ký và theo dõi khác, thư viện kiểm tra tính hợp lệ của đối số và các gói tiện ích phổ biến trong các dự   Đăng nhập để xem liên kết."