کمیته رکن چهارم– یک بسته مخرب در مخزن نرمافزاری NuGet با نام Tracer.Fody.NLog شناسایی شده است که با جعل نام یک کتابخانه محبوب، اقدام به سرقت اطلاعات کاربران رمزارز میکند. این بسته با استفاده از تغییر جزئی در نام توسعهدهنده واقعی و تکنیکهای پنهانسازی، توانسته به مدت حدود شش سال در این پلتفرم باقی بماند.
به گزارش کمیته رکن چهارم، بسته جعلی توسط حساب کاربری csnemess منتشر شده که تنها با یک حرف تفاوت نسبت به توسعهدهنده اصلی کتابخانه Tracer.Fody، کاربران را به اشتباه میاندازد. این بسته حداقل ۲,۰۰۰ بار دانلود شده است. بررسیها نشان میدهد که فایل داخلی آن با اسکن پوشه کیفپول Stratis در سیستمهای ویندوز، فایلهای حاوی اطلاعات حساس را جمعآوری کرده و به یک سرور در روسیه ارسال میکند.
مهاجم برای گمراهسازی توسعهدهندگان از روشهایی مانند استفاده از حروف مشابه سیریلیک، قرار دادن کد مخرب در توابع معمولی، و پنهانسازی فعالیتهای مشکوک بدون ایجاد خطا استفاده کرده است. این تکنیکها باعث شدهاند تا کد برای مدت طولانی بدون شناسایی باقی بماند.
آدرس IP استفادهشده در این حمله، پیشتر نیز در یک حمله مشابه در دسامبر ۲۰۲۳ برای سرقت عبارات بازیابی کیفپول بهکار رفته بود. در آن مورد نیز از جعل نام یک کتابخانه معروف با نام کاربری مشابه استفاده شده بود.
پژوهشگران امنیتی هشدار دادهاند که این نوع حملات، تهدیدی جدی برای زنجیره تأمین نرمافزار محسوب میشوند، بهویژه در پلتفرمهای متنباز که بررسی کامل کدها بهندرت انجام میشود. آنها توصیه کردهاند که توسعهدهندگان هنگام نصب بستهها، دقت بیشتری در بررسی منابع و نام توسعهدهنده به خرج دهند و از ابزارهای تحلیل خودکار برای شناسایی فعالیتهای مشکوک استفاده
