TokyoBlackHatNews

cyberpress.org 4分で読了

悪意のあるNuGetパッケージがSicoob SDKを装いパスワードを窃取

巧妙なサプライチェーン攻撃が発覚した。不正なNuGetパッケージがブラジル最大の協同組合銀行システムの一つであるSicoobの公式C# SDKになりすましたというものだ。

Socketの研究者たちは、Sicoob.Sdk バージョン2.0.0から2.0.4に、パッケージのDLL内に直接埋め込まれた隠れた認証情報窃取ロジックが含まれていることを確認した。

悪意のあるパッケージ「Sicoob.Sdk」は2026年5月5日にNuGetへ公開され、2026年5月6日までに急速にバージョン2.0.4に達したが、Socketによる不正報告を受けてNuGetにブロックされた。

旧称「Sistema de Cooperativas de Crédito do Brasil」であるSicoobは、全国328の協同組合と5,219のサービス拠点を通じて900万人以上の組合員にサービスを提供しており、金銭的動機を持つ脅威アクターによるなりすましの格好の標的となっている。

発見時点で、悪意のあるNuGet発行者アカウントsicoobは、全バージョン合計で484回ダウンロードされた12種類のSicoobブランドパッケージを公開しており、そのほとんどが公式C# SDKを主張していた。

このパッケージは、SicoobのFinancial APIおよびNon-Financial API向けの正規の.NET 8 SDKとして提示され、サポート用GitHubオーガニゼーション「Sicoob-Cooperativa」とクリーンに見えるソースコードを備えていた。

開発者がクライアントID、PFXファイルパス、およびPFXパスワードを指定してSicoobClientをインスタンス化すると(相互TLS銀行統合では完全に通常のワークフロー)、DLLは一連の隠れた処理を実行したとSocketは述べている。

API認証のために証明書を読み込むだけでなく、SDKはディスクからPFXファイルを読み取り、その全内容をBase64エンコードし、クライアントID、平文のPFXパスワード、およびエンコードされた証明書アーカイブをハードコードされたSentryテレメトリエンドポイントに送信した。

分析により、この窃取パスはisSandboxfalseに設定された場合にのみ有効であることが確認された。これは標準の本番モード設定であり、実際の認証情報を使用した本番環境へのデプロイ時に最も発動しやすいことを意味する。

また、ボレートAPIの生レスポンスを窃取する二次的な取得パスも確認されており、取引金額、支払人/受取人の詳細、支払期日、支払ステータスなどのブラジル決済伝票データが漏洩する恐れがある。

この攻撃で最も懸念される点の一つは、公開されているGitHubソースと配布されたNuGetアーティファクトの間に意図的な不一致が設けられていたことだ。

公開されているSicoobClient.csのソースは、mTLS用の証明書を読み込んでAPIクライアントを設定する通常のSDKのように振る舞っており、SentrySdk.InitSentrySdk.CaptureMessageFile.ReadAllBytesConvert.ToBase64Stringの痕跡は一切なかった。

悪意のあるSentry窃取ロジックは、NuGet経由で配布されたコンパイル済みDLLの内部にのみ存在していた。Socketの研究者たちは、GitHubリポジトリがパッケージを正当化するためのクリーンソースの表向きとして機能していたと強く確信している。

発行者オーガニゼーションの「Sicoob-Cooperativa」は2026年5月4日に作成され、GitHubによる認証もなく、公開メンバーも存在せず、公式GitHubアカウントがsicoob.com.brに直接リンクしている本物のSicoob機関からの逆認証も示されていない。

さらに攻撃の影響を広げたのは、GoogleのAI検索がSicoob APIの.NET統合パスとして推奨される選択肢にSicoob.Sdkを一時的に表示し、開発者の露出を拡大させたことだ。

2026年2月、研究者たちはNCryptYo、DOMOAuth2_、IRAOAuth2.0、SimpleWriter_という4つの悪意のあるNuGetパッケージを発見した。これらはASP.NET IdentityデータをExfiltrateし、永続的なC2バックドアをインストールするもので、合計4,500回以上ダウンロードされていた。

これらの一連のキャンペーンは、NuGetがサプライチェーン悪用の積極的な標的となっており、攻撃者がなりすまし、タイポスクワッティング、ソース偽装技術を駆使して開発者の信頼を回避しようとしていることを示している。

注意:誤った名前解決やハイパーリンク化を防ぐため、IPアドレスとドメインは意図的にデファング処理(例:[.])されている。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファング処理を行うこと。

開発者およびセキュリティチームは、いずれかのプロジェクトにSicoob.Sdkが存在する場合は直ちに対処すること:

翻訳元: https://cyberpress.org/malicious-nuget-package-sicoob-sdk/

ソース: cyberpress.org
#.NET #NuGet #Sicoob #オープンソースセキュリティ #サプライチェーン攻撃 #パッケージなりすまし #マルウェア #脅威インテリジェンス #認証情報窃取 #金融機関

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に