Cybersecurity-onderzoekers hebben een nieuwe supply chain-aanval ontdekt die gericht is op de NuGet-pakketbeheerder met kwaadaardige typosquats van Nethereum, een populair Ethereum .NET-integratieplatform, om de cryptocurrency-portemonneesleutels van slachtoffers te stelen.
Volgens beveiligingsbedrijf Socket blijkt het pakket, Netherеum.All, functionaliteit te bevatten voor het decoderen van een command-and-control (C2)-eindpunt en het exfiltreren van geheugensteuntjes, privésleutels en sleutelopslaggegevens.
De bibliotheek is op 16 oktober 2025 geüpload door een gebruiker met de naam ‘nethereumgroup’. Vier dagen later werd de bibliotheek van NuGet verwijderd wegens schending van de gebruiksvoorwaarden van de service.
Het opmerkelijke aan het NuGet-pakket is dat het de laatste keer dat de letter “e” voorkomt, wordt vervangen door de Cyrillische homoglyph “e” (U+0435) om nietsvermoedende ontwikkelaars ertoe te verleiden het te downloaden.
In een verdere poging om de geloofwaardigheid van het pakket te vergroten, hebben de bedreigingsactoren hun toevlucht genomen tot het kunstmatig opdrijven van de downloadaantallen, waarbij ze beweren dat het 11,7 miljoen keer is gedownload – een enorme waarschuwing aangezien het onwaarschijnlijk is dat een geheel nieuwe bibliotheek in korte tijd zo’n hoog aantal zal halen.
“Een bedreigingsacteur kan vele versies publiceren en vervolgens scriptdownloads van elke .nupkg uitvoeren via de v3 flat-container of loop nuget.exe-installatie en dotnet-herstel zonder cache-opties van cloudhosts”, aldus beveiligingsonderzoeker Kirill Boychenko. “Het roteren van IP’s en user agents en het parallelliseren van verzoeken verhoogt het volume terwijl clientcaches worden vermeden.”
“Het resultaat is een pakket dat ‘populair’ lijkt, wat de plaatsing van zoekopdrachten, gesorteerd op relevantie, vergroot en een vals gevoel van bewijs geeft wanneer ontwikkelaars naar de cijfers kijken.”
De belangrijkste payload binnen het NuGet-pakket bevindt zich in een functie genaamd EIP70221TransactionService.Shuffle, die een XOR-gecodeerde string parseert om de C2-server (solananetworkinstance(.)info/api/gads) te extraheren en gevoelige portemonneegegevens naar de aanvaller te exfiltreren.
Er is vastgesteld dat de bedreigingsactor aan het begin van de maand eerder een ander NuGet-pakket met de naam “NethereumNet” met dezelfde misleidende functionaliteit heeft geüpload. Het is al verwijderd door het NuGet-beveiligingsteam.
Dit is niet de eerste homoglyph-typosquat die in de NuGet-repository is opgemerkt. In juli 2024 documenteerde ReversingLabs details van verschillende pakketten die hun legitieme tegenhangers nabootsten door bepaalde elementen te vervangen door hun equivalenten om informele inspectie te omzeilen.
In tegenstelling tot andere open-source pakketrepository’s zoals PyPI, npm, Maven Central, Go Module en RubyGems die beperkingen opleggen aan het naamgevingsschema voor ASCII, legt NuGet dergelijke beperkingen niet op, behalve het verbieden van spaties en onveilige URL-tekens, waardoor de deur wordt geopend voor misbruik.
Om dergelijke risico’s te beperken, moeten gebruikers bibliotheken zorgvuldig onderzoeken voordat ze deze downloaden, inclusief het verifiëren van de identiteit van de uitgever en plotselinge downloadpieken, en controleren op afwijkend netwerkverkeer.
