Investigadores de ciberseguridad han descubierto un nuevo ataque a la cadena de suministro dirigido al administrador de paquetes NuGet con typosquats maliciosos de Nethereum, una popular plataforma de integración Ethereum .NET, para robar las claves de las billeteras de criptomonedas de las víctimas.
Se ha descubierto que el paquete, Netherеum.All, alberga funcionalidad para decodificar un punto final de comando y control (C2) y filtrar frases mnemotécnicas, claves privadas y datos del almacén de claves, según la empresa de seguridad Socket.
La biblioteca fue cargada por un usuario llamado «nethereumgroup» el 16 de octubre de 2025. Fue eliminada de NuGet por violar los Términos de uso del servicio cuatro días después.
Lo notable del paquete NuGet es que intercambia la última aparición de la letra «e» con el homoglifo cirílico «e» (U+0435) para engañar a los desarrolladores desprevenidos para que lo descarguen.
En un intento adicional de aumentar la credibilidad del paquete, los actores de amenazas han recurrido a inflar artificialmente el recuento de descargas, afirmando que se ha descargado 11,7 millones de veces, una enorme señal de alerta dado que es poco probable que una biblioteca completamente nueva acumule un recuento tan alto en un corto lapso de tiempo.
«Un actor de amenazas puede publicar muchas versiones, luego descargar scripts de cada .nupkg a través del contenedor plano v3 o instalar el bucle nuget.exe y restaurar dotnet con opciones sin caché desde hosts en la nube», dijo el investigador de seguridad Kirill Boychenko. «La rotación de IP y agentes de usuario y la paralelización de solicitudes aumentan el volumen y evitan los cachés de los clientes».
«El resultado es un paquete que parece ‘popular’, lo que aumenta la ubicación de las búsquedas ordenadas por relevancia y brinda una falsa sensación de prueba cuando los desarrolladores miran los números».
La carga útil principal dentro del paquete NuGet está dentro de una función llamada EIP70221TransactionService.Shuffle, que analiza una cadena codificada en XOR para extraer el servidor C2 (solananetworkinstance(.)info/api/gads) y filtra datos confidenciales de la billetera al atacante.
Se descubrió que el actor de amenazas había subido previamente otro paquete NuGet llamado «NethereumNet» con la misma funcionalidad engañosa a principios de mes. El equipo de seguridad de NuGet ya lo eliminó.
Este no es el primer typosquat homoglifo que se detecta en el repositorio de NuGet. En julio de 2024, ReversingLabs documentó detalles de varios paquetes que se hacían pasar por sus contrapartes legítimas al sustituir ciertos elementos con sus equivalentes para evitar una inspección casual.
A diferencia de otros repositorios de paquetes de código abierto como PyPI, npm, Maven Central, Go Module y RubyGems que imponen restricciones en el esquema de nombres para ASCII, NuGet no impone tales restricciones aparte de prohibir espacios y caracteres de URL inseguros, lo que abre la puerta al abuso.
Para mitigar tales riesgos, los usuarios deben examinar cuidadosamente las bibliotecas antes de descargarlas, incluida la verificación de la identidad del editor y los aumentos repentinos de descargas, y monitorear el tráfico anómalo de la red.