СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.12.2025
#ИБ

Tracer.Fody в NuGet: маскировка NLog и кража аккаунтов Stratis

Исследователи обнаружили вредоносный пакет NuGet под именем Tracer.Fody, замаскированный под законную библиотеку сетевой трасировки. Злоумышленники использовали техники homoglyph и имперсонации, чтобы ввести в заблуждение разработчиков и заставить их устанавливать пакет-«самозванец». В результате возможна кража JSON-данных и паролей из Stratis wallet с дальнейшей эксфильтрацией на российский IP-адрес — что указывает на прицельный интерес к финансовым учетным данным.

Краткое содержание инцидента

  • Вредоносный пакет: Tracer.Fody (пакет-самозванец).
  • Маскировка: использование homoglyph и приёма impersonation для подмены имени и внешнего вида легитимной библиотеки.
  • Цель: кража конфиденциальных данных (JSON, пароли Stratis wallet) и их отправка на контролируемый злоумышленниками сервер, связанный с российским IP.
  • Контекст: поддельный пакет внедряет вредоносный код в компонент Tracer.Fody.NLog, что позволяет запускать эксфильтрацию при выполнении библиотек в средах разработчиков.

Почему это сработало

Законная библиотека Fody — основа множества расширений для IL weaving, активно используемых в .NET-сообществе. Популярность расширений и сотни тысяч загрузок через NuGet способствуют тому, что разработчики нередко не углубляются в деревья зависимостей и не проверяют каждую транзитивную пакетную ссылку. Злоумышленники эксплуатируют эту практику для компрометации цепочки поставок.

«Используя методы homoglyph, пакет-самозванец обманывает разработчиков, заставляя их загружать его, что потенциально может привести к краже JSON-данных и паролей Stratis wallet.»

Технические детали вредоносной активности

  • Вредоносный код в Tracer.Fody.NLog включает функции извлечения и эксфильтрации конфиденциальных данных кошелька.
  • Процесс эксфильтрации направляется на российский IP-адрес, что указывает на оперативный интерес к финансовой информации.
  • Атака реализована через компрометацию цепочки поставок — злоумышленники заставляют легитимный процесс разработки подтягивать вредоносную зависимость.

Соответствие MITRE ATT&CK: какие TTP использовались

Применённые тактики, методы и процедуры соответствуют ряду техник из фреймворка MITRE ATT&CK:

  • T1585 — создание учётной записи (создание и использование подозрительных аккаунтов для публикации вредоносных пакетов).
  • T1587.001 — развитие возможностей (размножение и подготовка вредоносных артефактов в экосистеме поставок).
  • T1195.002 — компрометация цепочки поставок (подмена библиотек/пакетов в менеджерах зависимостей).
  • T1204.005 — выполнение вредоносных библиотек (загрузка и исполнение вредоносного кода при подключении зависимостей).
  • T1036 — маскировка (обманный внешний вид пакета, похожий на легитимный).
  • T1656 — имперсонация (подмена идентичности легитимного автора/пакета).
  • T1552 — нацеливание на незащищённые учётные данные (снятие паролей и ключей).
  • T1657 — кража денежных средств (финансовая мотивация, эксфильтрация данных кошельков).

Контекст: это не единичный случай

Инцидент с Tracer.Fody вписывается в более широкую картину атак, направленных на экосистему NuGet. Ранее наблюдались случаи маскировки вредоносных пакетов под известные библиотеки — в одном из примеров злоумышленники выдавали свой пакет за библиотеку Stephen Cleary. Такие кампании подчёркивают устойчивую угрозу безопасности в публичных реестрах пакетов.

Практические рекомендации для разработчиков и организаций

  • Проверяйте издателя пакета и обращайте внимание на возможные homoglyph в именах.
  • Используйте решения для сканирования зависимостей и Software Composition Analysis (SCA).
  • Применяйте подписи пакетов и предпочитайте только проверенные источники; по возможности — используйте внутренние регистры пакетов.
  • Фиксируйте версии зависимостей (pinning), минимизируйте автоматическое подтягивание транзитивных обновлений без проверки.
  • Ограничивайте секреты в коде и окружениях разработки; используйте безопасное хранение секретов и ротацию паролей.
  • Мониторьте сетевую активность разработки и CI/CD на предмет подозрительных соединений и эксфильтрации данных.
  • Обучайте команды безопасности и разработчиков признакам supply chain-атак и приёмам проверки пакетов.

Заключение

Инцидент с Tracer.Fody — наглядное напоминание о том, что цепочки поставок программного обеспечения остаются одной из уязвимых точек современной разработки. Маскировка через homoglyph, импортация вредоносных библиотек и целевая кража данных кошельков демонстрируют продуманную и многоступенчатую стратегию злоумышленников. Сообщества разработчиков и организации должны усилить практики контроля зависимостей, верификации пакетов и мониторинга, чтобы снизить риски подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: