Поддельный пакет NuGet выдает себя за Tracer.Fody, крадет данные криптовалютных кошельков

Внимание, разработчики — вредоносный пакет NuGet выдавал себя за легитимный инструмент Tracer.Fody в течение НЕСКОЛЬКИХ ЛЕТ и тихо крал криптовалютные кошельки Stratis с компьютеров Windows. Это не просто очередная атака с использованием опечаток — это сложная атака на цепочку поставок, которая долгое время оставалась незамеченной.

Поддельный пакет — хитро замаскированный под Tracer.Fody — не просто сидит и выглядит невинно. После установки он переходит в режим полного шпионажа: ищет файлы кошельков Stratis (.stratis) и данные паролей на зараженных системах Windows. Представьте себе цифрового карманника, который точно знает, где вы храните свои криптоключи.

Вот что самое поразительное: эта штука оставалась активной на NuGet в течение нескольких лет, прежде чем кто-либо ее обнаружил. Именно так — разработчики могли загружать это вредоносное ПО, думая, что получают легитимный инструмент для отладки. Описание пакета выглядело убедительно, номера версий казались нормальными... но под этим скрывалось чистое воровство.

Вот почему безопасность цепочки поставок программного обеспечения — это не просто модные слова, а критически важная инфраструктура. Когда вредоносные пакеты могут маскироваться под доверенные инструменты в течение НЕСКОЛЬКИХ ЛЕТ, каждая загрузка становится потенциальным нарушением. Злоумышленникам не нужны были сложные уязвимости нулевого дня; им просто нужно было, чтобы разработчики доверяли неправильному имени пакета.

Исследователи безопасности наконец-то обнаружили это, заметив необычные модели поведения. Пакет не просто крал файлы кошельков — он также собирал пароли и системные данные, создавая полный профиль для потенциальных последующих атак. Это был не любительский уровень; это был расчетливый, настойчивый грабеж.

Суть в следующем: всегда проверяйте свои зависимости, проверяйте подписи пакетов и отслеживайте необычную сетевую активность. Эта атака доказывает, что даже «доверенные» репозитории могут скрывать злоумышленников в течение длительного времени. Ваши криптокошельки не в безопасности только потому, что вы загружаете из официальных источников — проверка это все.