新たに発見された悪意のあるNuGetパッケージが、正規のSicoobソフトウェア開発キット(SDK)に偽装して機密性の高い銀行認証情報を窃取していたことが判明し、ソフトウェアサプライチェーン攻撃の危険な進化が浮き彫りになっています。
Socketのセキュリティ研究者が明らかにしたところによると、「Sicoob.Sdk」という名称で公開されたこのパッケージは、ブラジルのSicoob銀行APIとの連携に使用される公式開発ツールを装いながら、開発者や組織から認証データを密かに窃取していました。
悪意のあるNuGetパッケージが銀行パスワードを窃取
2026年5月初旬にNuGetへアップロードされたこの不正パッケージは、削除される前に複数のバージョン(2.0.0〜2.0.4)を次々とリリースしました。
このパッケージは相互TLS(mTLS)認証を含むセキュアなAPI通信を処理するための.NET 8サポートを提供すると謳っていました。しかし、一見正当に見えるこの機能の裏で、クライアントID、PFX証明書ファイル、および関連するパスワードを含む非常に機密性の高いデータを抽出するよう設計された悪意のあるコードが含まれていました。
開発者がSDKの指示に従って使用する際、クライアントID、PFX証明書のパス、およびパスワードを用いてクライアントを初期化する必要がありました。このプロセスは安全な銀行統合において標準的な手順です。
しかし、この悪意のあるパッケージはその信頼を悪用し、ディスクから証明書ファイルを直接読み取り、Base64でエンコードした上で、平文のパスワードおよびクライアントIDとともに、正規のエラー監視プラットフォームであるSentryを介してハードコードされた外部エンドポイントへ送信していました。
このSentryの悪用は特に注目に値します。攻撃者はこのサービスをデバッグやパフォーマンス監視に使用するのではなく、隠密なデータ窃取チャネルとして武器化しました。
悪意のあるコードは通常のSDK初期化時に実行されるため、窃取は密かに行われ、直ちに疑惑を引き起こすことはありませんでした。さらに懸念されるのは、データ窃取ロジックが本番環境モードでのみ起動されるよう設計されており、テスト環境での検出を回避していた点です。
さらなる調査により、より広範な詐称キャンペーンが明らかになりました。NuGetの発行者アカウントおよびリンクされたGitHub組織は、Sicoobの公式開発者リソースを模倣しているように見受けられました。
GitHubリポジトリには無害なソースコードのみが含まれており、目に見える悪意ある動作はありませんでした。しかし、コンパイル済みのNuGetパッケージには公開リポジトリに存在しない隠しコードが含まれており、意図的なソースとパッケージの不一致、すなわちサプライチェーン攻撃においてますます一般的になっている手口が使われていたことを示しています。
この侵害の影響は深刻です。PFX証明書にはセキュアな認証に使用される秘密鍵が含まれていることが多く、クライアントIDおよびパスワードと組み合わされることで、攻撃者が正規の銀行アプリケーションになりすますことを可能にします。
これにより、金融データへの不正アクセス、取引の実行、またはSicoobエコシステム内におけるPix決済やボレト処理などのサービスの悪用につながる可能性があります。
このパッケージのダウンロード数は500件未満でしたが、開発パイプライン、CI/CD環境、および機密認証情報が一般的に使用される本番システムへの潜在的な露出により、リスクは依然として高い状態にあります。
検索エンジンや自動推奨に依存している開発者が、知らないうちに悪意のある依存関係をインストールしてしまった可能性もあり、脅威がさらに拡大しています。
セキュリティチームは、影響を受けるパッケージを使用した場合は認証情報の侵害として扱うよう強く推奨されています。直ちに実施すべき対応として、証明書の失効と更新、パスワードの変更、および不審な動作に関するAPIアクティビティの監査が挙げられます。また、組織は攻撃に関連する不審なSentryエンドポイントへの外向き接続についてログを調査する必要があります。
この事件は、特に認証や暗号化素材を扱うライブラリに関して、オープンソースエコシステム内で高まるリスクを改めて浮き彫りにしています。開発者はパッケージの正当性を確認し、公式ベンダーのソースを利用し、厳格な依存関係の検証を実施することで、類似の脅威に対する将来的なリスクを低減するよう求められています。
侵害の痕跡(IoC)
関連する発行およびソースインフラ
- NuGetオーナーアカウント:
sicoob–https://www.nuget.org/profiles/sicoob - GitHub組織:
Sicoob-Cooperativa–https://github[.]com/Sicoob-Cooperativa - 関連するGitHubコントリビューターアカウント:
joaobcdev–https://github[.]com/joaobcdev
悪意のあるパッケージ
Sicoob.Sdk(バージョン2.0.0〜2.0.4)
関連するNuGetパッケージセット
Sicoob-Cooperativa.Sicoob.AuthSicoob-Cooperativa.Sicoob.CobrancaV3Sicoob-Cooperativa.Sicoob.ContaCorrenteSicoob-Cooperativa.Sicoob.ConvenioPagamentosSicoob-Cooperativa.Sicoob.InvestimentosSicoob-Cooperativa.Sicoob.OpenFinanceSicoob-Cooperativa.Sicoob.PagamentosPixSicoob-Cooperativa.Sicoob.PagamentosV3Sicoob-Cooperativa.Sicoob.PixSicoob-Cooperativa.Sicoob.PoupancaSicoob-Cooperativa.Sicoob.SpbTransferencias
窃取エンドポイント
- Sentry DSN:
hxxps://d565e3f03d0b1a7c8935d7ff94237316@o4511335034847232[.]ingest[.]de[.]sentry[.]io/4511337546317904 - Sentryインジェストホスト:
o4511335034847232[.]ingest[.]de[.]sentry[.]io - SentryプロジェクトID:
4511337546317904 - Sentryパブリックキー:
d565e3f03d0b1a7c8935d7ff94237316
注意: IPアドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://gbhackers.com/malicious-nuget-package-exfiltrates-banking-passwords/
