Netcrook Logo
👤 AUDITWOLF
🗓️ 17 Dec 2025  

Colpo Crypto nel Codice: Come Pacchetti NuGet Malevoli Hanno Preso di Mira Sviluppatori e i Loro Wallet

Una campagna sofisticata su NuGet ha utilizzato pacchetti dall’aspetto simile per sottrarre criptovalute e dati pubblicitari a sviluppatori ignari in tutto il mondo.

Per molti sviluppatori software, era iniziato come un lunedì qualsiasi - finché una cassetta degli attrezzi fidata non si è trasformata in un traditore. Dietro le quinte del popolare repository NuGet, era in corso un silenzioso colpo digitale. Pacchetti che sembravano legittimi, vantando milioni di download e nomi familiari, erano in realtà trappole avvelenate. Gli aggressori? Astuti, persistenti e maestri del travestimento, hanno sfruttato ogni trucco del manuale del cybercriminale per rubare criptovalute e dati pubblicitari, svelando i pericoli nascosti che si annidano proprio negli strumenti di cui gli sviluppatori si fidano.

In Breve

  • Sono stati scoperti 14 pacchetti malevoli su NuGet, un repository di componenti software.
  • Gli aggressori hanno usato trucchi visivi “omoglifi” e falsi conteggi di download per imitare librerie affidabili.
  • Il codice malevolo prendeva di mira frasi seed di criptovalute, chiavi private e account Google Ads.
  • Alcuni attacchi sostituivano l’indirizzo del wallet durante la transazione, deviando i fondi verso i criminali.
  • Il rischio di infezione si estendeva “a valle” a migliaia di utenti tramite codice incorporato.

Anatomia di una Truffa nel Codice

L’incidente recente su NuGet, scoperto dalla società di sicurezza ReversingLabs, sembra uscito da un thriller sul cybercrimine. Dal luglio 2025, gli hacker hanno seminato silenziosamente il repository con 14 pacchetti trappola, ciascuno progettato per confondersi con i più popolari strumenti per sviluppatori. L’inganno era profondo: gli aggressori hanno utilizzato “omoglifi” - sostituzioni sottili di caratteri come una ‘е’ cirillica al posto di una ‘e’ latina - per creare nomi di pacchetti quasi indistinguibili dagli originali. ‘Netherеum.All’, ad esempio, imitava una nota libreria Ethereum con una sola, quasi invisibile, differenza di carattere.

Ma l’inganno non si fermava ai nomi. Gli hacker gonfiavano artificialmente i conteggi di download fino a milioni e rilasciavano aggiornamenti a raffica (“version bumping”) per imitare l’attività di progetti sani e affidabili. Il risultato? Anche sviluppatori esperti potevano essere indotti a fidarsi e integrare questi pacchetti avvelenati.

I payload erano tanto vari quanto pericolosi. Nove pacchetti erano specializzati nel rubare le “frasi seed” e le chiavi private che sbloccano i wallet di criptovalute - informazioni che, se compromesse, permettono agli aggressori di svuotare interi account. Altri pacchetti, come Coinbase.Net.Api, monitoravano le transazioni in uscita e, per ogni trasferimento superiore ai 100 dollari, sostituivano silenziosamente l’indirizzo del destinatario con quello dell’aggressore, dirottando i fondi in tempo reale. Nel frattempo, il pacchetto GoogleAds.API prendeva di mira i token OAuth, consentendo agli aggressori di dirottare account Google Ads e potenzialmente accumulare addebiti fraudolenti.

Tracciando i responsabili, i ricercatori hanno collegato diversi pacchetti a un alias autore “DamienMcdougal”, un nome già associato ad altre campagne orientate al furto. Gli aggressori hanno dimostrato agilità, cancellando alcuni pacchetti quando erano sotto osservazione e ricomparendo con nuovi alias, in un classico gioco del gatto col topo nel mondo degli attacchi alla supply chain.

Effetti a Catena: Quando la Fiducia Diventa una Minaccia

Forse l’aspetto più insidioso di questa campagna è il suo potenziale di danni collaterali. Poiché gli sviluppatori spesso incorporano pacchetti di terze parti nel proprio software, una singola libreria malevola può infettare innumerevoli applicazioni e utenti a valle. La stessa apertura e fiducia che alimentano la comunità degli sviluppatori sono diventate l’arma preferita degli aggressori.

Man mano che le valute digitali crescono in popolarità e valore, cresce anche la sofisticazione di chi cerca di rubarle. Questo episodio è un chiaro promemoria: nel mondo delle supply chain software, la fiducia è sia il fondamento che il tallone d’Achille. La vigilanza non è opzionale - è essenziale.

WIKICROOK

  • NuGet: NuGet è una piattaforma online e un gestore di pacchetti che consente agli sviluppatori .NET di condividere, scaricare e gestire librerie di codice riutilizzabili per i loro progetti.
  • Omoglifo: Gli omoglifi sono caratteri visivamente simili ma tecnicamente diversi, usati negli attacchi informatici per camuffare link, domini o codice malevolo, ingannando gli utenti ignari.
  • Frase Seed: Una frase seed è un insieme di parole che funge da chiave principale per un wallet crypto. Chiunque la possieda può accedere e controllare i tuoi fondi.
  • Token OAuth: Un token OAuth è una chiave digitale che consente alle app di accedere in modo sicuro ai tuoi dati senza dover inserire la password ogni volta.
  • Version Bumping: Il version bumping consiste nell’aggiornare spesso i numeri di versione del software per sembrare attivi o sicuri, talvolta ingannando gli utenti sui reali cambiamenti o aggiornamenti di sicurezza.
Crypto Heist NuGet Packages Cybersecurity
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news