Investigadores de ciberseguridad han descubierto un nuevo ataque a la cautiverio de suministro dirigido al administrador de paquetes NuGet con typosquats maliciosos de Nethereum, una popular plataforma de integración Ethereum .NET, para robar las claves de las billeteras de criptomonedas de las víctimas.
Se ha descubierto que el paquete, Netherеum.All, alberga funcionalidad para decodificar un punto final de comando y control (C2) y filtrar frases mnemotécnicas, claves privadas y datos del almacén de claves, según la empresa de seguridad Socket.
La biblioteca fue cargada por un legatario llamado «nethereumgroup» el 16 de octubre de 2025. Fue eliminada de NuGet por violar los Términos de uso del servicio cuatro días a posteriori.
Lo sobresaliente del paquete NuGet es que intercambia la última aparición de la carácter «e» con el homoglifo cirílico «e» (U+0435) para engañar a los desarrolladores desprevenidos para que lo descarguen.
En un intento adicional de aumentar la credibilidad del paquete, los actores de amenazas han recurrido a inflar artificialmente el recuento de descargas, afirmando que se ha descargado 11,7 millones de veces, una enorme señal de alerta hexaedro que es poco probable que una biblioteca completamente nueva acumule un recuento tan suspensión en un corto período de tiempo.
«Un actor de amenazas puede imprimir muchas versiones, luego descargar scripts de cada .nupkg a través del contenedor plano v3 o instalar el rizo nuget.exe y restaurar dotnet con opciones sin distinción desde hosts en la cúmulo», dijo el investigador de seguridad Kirill Boychenko. «La rotación de IP y agentes de legatario y la paralelización de solicitudes aumentan el cuerpo y evitan los cachés de los clientes».
«El resultado es un paquete que parece ‘popular’, lo que aumenta la ubicación de las búsquedas ordenadas por relevancia y brinda una falsa sensación de prueba cuando los desarrolladores miran los números».
La carga útil principal interiormente del paquete NuGet está interiormente de una función emplazamiento EIP70221TransactionService.Shuffle, que analiza una cautiverio codificada en XOR para extraer el servidor C2 (solananetworkinstance(.)info/api/gads) y filtra datos confidenciales de la billetera al atacante.
Se descubrió que el actor de amenazas había subido previamente otro paquete NuGet llamado «NethereumNet» con la misma funcionalidad engañosa a principios de mes. El equipo de seguridad de NuGet ya lo eliminó.
Este no es el primer typosquat homoglifo que se detecta en el repositorio de NuGet. En julio de 2024, ReversingLabs documentó detalles de varios paquetes que se hacían acontecer por sus contrapartes legítimas al sustituir ciertos rudimentos con sus equivalentes para evitar una inspección casual.
A diferencia de otros repositorios de paquetes de código franco como PyPI, npm, Maven Central, Go Module y RubyGems que imponen restricciones en el esquema de nombres para ASCII, NuGet no impone tales restricciones a salvo de prohibir espacios y caracteres de URL inseguros, lo que abre la puerta al desmán.
Para mitigar tales riesgos, los usuarios deben examinar cuidadosamente las bibliotecas antiguamente de descargarlas, incluida la comprobación de la identidad del editor y los aumentos repentinos de descargas, y monitorear el tráfico aberrante de la red.
