Pesquisadores de segurança identificaram um novo ataque à cadeia de suprimentos que utiliza o gerenciador de pacotes NuGet para distribuir uma versão maliciosa do Nethereum, biblioteca popular de integração Ethereum para .NET, com o objetivo de furtar frases mnemônicas e chaves privadas de carteiras de criptomoedas.
Como o golpe foi armado
O pacote suspeito, batizado de Netherеum.All, foi publicado em 16 de outubro de 2025 por um usuário chamado “nethereumgroup”. Quatro dias depois, o NuGet removeu o arquivo por violar seus Termos de Uso.
Para enganar desenvolvedores, os criminosos trocaram o último “e” de “Nethereum” pelo caractere cirílico idêntico visualmente (U+0435). Essa técnica de homógrafo dificulta a percepção do golpe em inspeções rápidas.
Descoberta de tráfego suspeito
Análise da empresa de segurança Socket mostrou que a biblioteca contém código capaz de decodificar um endpoint de comando e controle (C2) e enviar aos invasores frases mnemônicas, chaves privadas e dados de keystore. O endereço C2 identificado foi solananetworkinstance[.]info/api/gads.
Downloads inflados artificialmente
Para passar credibilidade, os atacantes inflaram de forma automatizada o número de downloads, que aparecia em 11,7 milhões. O pesquisador Kirill Boychenko explicou que esse volume pode ser fabricado executando instalações repetidas a partir de hospedagens em nuvem, alternando endereços IP e agentes de usuário para evitar cache de clientes.
Código malicioso embutido
O payload principal reside na função EIP70221TransactionService.Shuffle, responsável por decodificar a URL maliciosa e exfiltrar as informações da carteira do usuário.
Imagem: Internet
Reincidência do mesmo ator
Investigadores também atribuíram ao mesmo responsável a publicação do pacote NethereumNet no início de outubro, removido pela equipe de segurança do NuGet após exibir comportamento semelhante.
Lacunas no NuGet
Diferentemente de repositórios como PyPI, npm ou Maven Central, o NuGet não limita nomes de pacotes ao padrão ASCII, permitindo o uso de caracteres Unicode e, consequentemente, golpes de homógrafo. Casos parecidos já haviam sido relatados em julho de 2024 pela ReversingLabs.
Especialistas recomendam analisar com cuidado a identidade do publicador, desconfiar de picos súbitos de downloads e monitorar tráfego de rede para reduzir o risco de comprometer projetos.
Com informações de The Hacker News
