СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

Вредоносный NuGet-пакет Sicoob.Sdk крал банковские учетные данные

Пакет, маскировавшийся под официальный SDK Sicoob, оказался инструментом для эксфильтрации PFX, клиентских идентификаторов и паролей, создавая угрозу для интеграций с финансовыми системами в Brazil.

В экосистеме NuGet выявлен недавно обнаруженный вредоносный пакет Sicoob.Sdk, который выдавал себя за официальный SDK для работы с финансовыми системами Sicoob в Brazil. На деле он был создан не для интеграции, а для эксфильтрации конфиденциальной банковской информации, включая client identifiers, PFX passwords и банковские certificates.

Особую опасность инциденту придаёт то, что пакет распространялся через доверенный канал, а его поведение было встроено в процесс инициализации client object. Именно в этот момент вредоносный код считывал содержимое PFX file с диска, кодировал данные в base64 и передавал чувствительные сведения на заранее заданный Sentry telemetry endpoint.

Как работала схема эксфильтрации

По данным анализа, вредоносная логика срабатывала при передаче в пакет следующих параметров:

  • client identifier;
  • path to the PFX file;
  • PFX password.

После инициализации пакет извлекал данные из PFX file, кодировал их в base64 и отправлял их вместе с client identifier и PFX password в открытом виде на жестко заданный endpoint. Это создавало риск компрометации учетных данных, необходимых для mutual TLS authentication.

Если бы злоумышленник получил доступ к этим материалам, он мог бы потенциально имперсонировать легитимную API integration Sicoob и получить несанкционированный доступ к конфиденциальным финансовым данным.

Версии с вредоносной логикой

Анализ показал, что встроенная логика эксфильтрации присутствовала в версиях 2.0.0–2.0.4. Эти сборки отличались от других пакетов, выпущенных тем же actor под тем же именем и не содержащих вредоносной нагрузки.

GitHub repository как возможный фасад

Примечательно, что видимый source code в связанном GitHub repository демонстрировал безвредную SDK functionality, но не содержал компонентов эксфильтрации, обнаруженных в распространяемых binary files NuGet. Такое расхождение позволяет предположить, что repository мог использоваться как facade для повышения доверия к вредоносному package.

Отдельно отмечается, что связанная GitHub organization не имеет подтверждённой affiliation с Sicoob и не демонстрирует признаков надёжности, которые могли бы подкрепить её статус официального источника: отсутствуют подписчики и заметная history of contributions.

Риски для финансовых операций

Угроза, создаваемая этим malware, выходит за рамки кражи отдельных учетных данных. В зависимости от прав, связанных с скомпрометированными credentials, злоумышленник мог бы получить доступ к чувствительным операциям, включая:

  • Pix payments;
  • boletos transactions;
  • управление другими financial data.

Таким образом, компрометация PFX file и связанных с ним ключей могла привести к серьёзным последствиям для организаций, использующих интеграции с банковской инфраструктурой Sicoob.

Связь с техниками MITRE ATT&CK

Инцидент соответствует известным техникам MITRE ATT&CK, связанным с:

  • compromise of the Supply Chain;
  • exfiltration through command and control channels (C2);
  • unauthorized credential access.

Это указывает на продуманную стратегию злоумышленника: эксплуатацию доверенных software environments и манипулирование доверием developers в корыстных целях.

Реакция платформы

Аккаунт NuGet, ответственный за распространение этой версии SDK, был отмечен как связанный с другими потенциально вредоносными packages. После получения abuse report пакет был заблокирован для дальнейшего распространения.

Вывод

Этот инцидент служит важным напоминанием о необходимости внимательно проверять software dependencies и быть особенно осторожными с атаками на supply chain. Даже пакет, который внешне выглядит как официальный SDK, может оказаться инструментом для кражи банковских данных и компрометации критически важных финансовых интеграций.

Инцидент подтверждает: доверие к репозиторию или названию пакета не заменяет проверку кода, источника и поведения binary files.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: