Logging nell’Ombra: Come una Falsa Libreria .NET è Diventata un Ladro di Criptovalute

È iniziato come un altro giorno di routine per gli sviluppatori .NET alla ricerca di strumenti di logging affidabili. Ma nascosto tra le migliaia di pacchetti sulla NuGet Gallery si celava un lupo travestito da agnello - una libreria di logging che faceva molto più che registrare errori. Invece, sottraeva silenziosamente i segreti dei portafogli di criptovalute, lasciando le vittime completamente ignare.

Dentro l’Inganno: Errori di Battitura, Omoglifi e Minacce Nascoste

Il pacchetto Tracer.Fody.NLog sembrava, a prima vista, solo un’altra estensione per il logging .NET - affidabile, familiare e utile. Ma il suo creatore, usando l’alias csnemess (una lettera di differenza dal legittimo manutentore csnemes), aveva altri piani. La descrizione del pacchetto, il nome e persino la struttura dei file imitavano da vicino i progetti Tracer autentici, ingannando anche sviluppatori esperti.

L’inganno era ancora più profondo: la DLL malevola incorporata nel pacchetto utilizzava omoglifi cirillici - caratteri Unicode che sembrano identici alle lettere latine ma sono tecnicamente diversi. Questo trucco linguistico permetteva al malware di confondersi con il codice legittimo ed eludere le scansioni automatiche basate sul confronto di stringhe. Nomi come “Тrасer” e “Fоdy” sembravano perfettamente normali, ma nascondevano un payload pericoloso.

Dal Logging al Saccheggio: Come Funzionava l’Attacco

Una volta che uno sviluppatore integrava inconsapevolmente questo pacchetto, esso si agganciava silenziosamente a un metodo helper comunemente usato: Guard.NotNull<T>. Ogni volta che questo metodo processava un oggetto contenente una proprietà WalletPassword, il malware entrava in azione. Cercava nella directory predefinita dei portafogli Stratis, leggeva tutti i dati e le password dei portafogli e li trasmetteva silenziosamente a un server russo (176.113.82.163:4444) - il tutto senza generare alcun allarme o voce di log.

Non si trattava di un colpo improvvisato. L’operazione era calcolata, persistente e invisibile, prendendo di mira la spina dorsale della sicurezza blockchain: chiavi private e credenziali dei portafogli.

Implicazioni Più Ampie: I Pericoli Silenziosi degli Attacchi alla Supply-Chain

Non si tratta di un caso isolato. La stessa infrastruttura è stata collegata a precedenti attacchi mirati a portafogli blockchain tramite NuGet, e il server malevolo è ancora online. I ricercatori di sicurezza avvertono che, man mano che i componenti open-source si integrano sempre più profondamente nelle pipeline aziendali, il rischio di attacchi alla supply-chain così furtivi è destinato a crescere.

Gli esperti invitano gli sviluppatori a verificare l’autenticità dei manutentori dei pacchetti e a implementare strumenti di rilevamento avanzati - come l’AI Scanner di Socket - per individuare dipendenze malevole prima che arrivino in produzione.