Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Вредоносный NuGet-пакет Sicoob.Sdk крал банковские учетные данные

3 мин
Пакет, маскировавшийся под официальный SDK Sicoob, оказался инструментом для эксфильтрации PFX, клиентских идентификаторов и паролей, создавая угрозу для интеграций с финансовыми системами в Brazil. В экосистеме NuGet выявлен недавно обнаруженный вредоносный пакет Sicoob.Sdk, который выдавал себя за официальный SDK для работы с финансовыми системами Sicoob в Brazil. На деле он был создан не для интеграции, а для эксфильтрации конфиденциальной банковской информации, включая client identifiers, PFX passwords и банковские certificates. Особую опасность инциденту придаёт то, что пакет распространялся через доверенный канал, а его поведение было встроено в процесс инициализации client object. Именно в этот момент вредоносный код считывал содержимое PFX file с диска, кодировал данные в base64 и передавал чувствительные сведения на заранее заданный Sentry telemetry endpoint. По данным анализа, вредоносная логика срабатывала при передаче в пакет следующих параметров: После инициализации пакет
Оглавление

Пакет, маскировавшийся под официальный SDK Sicoob, оказался инструментом для эксфильтрации PFX, клиентских идентификаторов и паролей, создавая угрозу для интеграций с финансовыми системами в Brazil.

В экосистеме NuGet выявлен недавно обнаруженный вредоносный пакет Sicoob.Sdk, который выдавал себя за официальный SDK для работы с финансовыми системами Sicoob в Brazil. На деле он был создан не для интеграции, а для эксфильтрации конфиденциальной банковской информации, включая client identifiers, PFX passwords и банковские certificates.

Особую опасность инциденту придаёт то, что пакет распространялся через доверенный канал, а его поведение было встроено в процесс инициализации client object. Именно в этот момент вредоносный код считывал содержимое PFX file с диска, кодировал данные в base64 и передавал чувствительные сведения на заранее заданный Sentry telemetry endpoint.

Как работала схема эксфильтрации

По данным анализа, вредоносная логика срабатывала при передаче в пакет следующих параметров:

  • client identifier;
  • path to the PFX file;
  • PFX password.

После инициализации пакет извлекал данные из PFX file, кодировал их в base64 и отправлял их вместе с client identifier и PFX password в открытом виде на жестко заданный endpoint. Это создавало риск компрометации учетных данных, необходимых для mutual TLS authentication.

Если бы злоумышленник получил доступ к этим материалам, он мог бы потенциально имперсонировать легитимную API integration Sicoob и получить несанкционированный доступ к конфиденциальным финансовым данным.

Версии с вредоносной логикой

Анализ показал, что встроенная логика эксфильтрации присутствовала в версиях 2.0.0–2.0.4. Эти сборки отличались от других пакетов, выпущенных тем же actor под тем же именем и не содержащих вредоносной нагрузки.

GitHub repository как возможный фасад

Примечательно, что видимый source code в связанном GitHub repository демонстрировал безвредную SDK functionality, но не содержал компонентов эксфильтрации, обнаруженных в распространяемых binary files NuGet. Такое расхождение позволяет предположить, что repository мог использоваться как facade для повышения доверия к вредоносному package.

Отдельно отмечается, что связанная GitHub organization не имеет подтверждённой affiliation с Sicoob и не демонстрирует признаков надёжности, которые могли бы подкрепить её статус официального источника: отсутствуют подписчики и заметная history of contributions.

Риски для финансовых операций

Угроза, создаваемая этим malware, выходит за рамки кражи отдельных учетных данных. В зависимости от прав, связанных с скомпрометированными credentials, злоумышленник мог бы получить доступ к чувствительным операциям, включая:

  • Pix payments;
  • boletos transactions;
  • управление другими financial data.

Таким образом, компрометация PFX file и связанных с ним ключей могла привести к серьёзным последствиям для организаций, использующих интеграции с банковской инфраструктурой Sicoob.

Связь с техниками MITRE ATT&CK

Инцидент соответствует известным техникам MITRE ATT&CK, связанным с:

  • compromise of the Supply Chain;
  • exfiltration through command and control channels (C2);
  • unauthorized credential access.

Это указывает на продуманную стратегию злоумышленника: эксплуатацию доверенных software environments и манипулирование доверием developers в корыстных целях.

Реакция платформы

Аккаунт NuGet, ответственный за распространение этой версии SDK, был отмечен как связанный с другими потенциально вредоносными packages. После получения abuse report пакет был заблокирован для дальнейшего распространения.

Вывод

Этот инцидент служит важным напоминанием о необходимости внимательно проверять software dependencies и быть особенно осторожными с атаками на supply chain. Даже пакет, который внешне выглядит как официальный SDK, может оказаться инструментом для кражи банковских данных и компрометации критически важных финансовых интеграций.

Инцидент подтверждает: доверие к репозиторию или названию пакета не заменяет проверку кода, источника и поведения binary files.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносный NuGet-пакет Sicoob.Sdk крал банковские учетные данные".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.