“Socket แฉแพ็กเกจ NuGet ปลอม ‘Netherеum.All’ – ขโมยคีย์กระเป๋าคริปโตผ่าน C2 ธีม Solana!”
ทีมนักวิจัยจาก Socket พบแพ็กเกจอันตรายบน NuGet ที่ชื่อว่า Netherеum.All ซึ่งแอบอ้างเป็นไลบรารี Nethereum ของ .NET โดยใช้เทคนิค homoglyph typosquatting คือเปลี่ยนตัวอักษร “e” ให้เป็นตัวอักษรซีริลลิกที่หน้าตาเหมือนกัน (U+0435) เพื่อหลอกสายตานักพัฒนา
แพ็กเกจนี้ถูกเผยแพร่ภายใต้ชื่อผู้ใช้ “nethereumgroup” และมีโครงสร้างเหมือนของจริงทุกประการ ทั้ง namespace, metadata และคำสั่งติดตั้ง ทำให้แม้แต่นักพัฒนาที่มีประสบการณ์ก็อาจตกเป็นเหยื่อได้
เมื่อถูกติดตั้ง แพ็กเกจจะรันฟังก์ชันชื่อว่า Shuffle() ซึ่งใช้เทคนิค XOR masking เพื่อถอดรหัส URL สำหรับส่งข้อมูลไปยังเซิร์ฟเวอร์ C2 ที่ชื่อว่า solananetworkinstance[.]info/api/gads โดยข้อมูลที่ส่งออกไปมีชื่อฟิลด์ว่า message ซึ่งอาจเป็น mnemonic, private key, keystore JSON หรือแม้แต่ transaction ที่เซ็นแล้ว
Socket ระบุว่าแพ็กเกจนี้ใช้เทคนิค download inflation เพื่อดันอันดับใน NuGet โดยสร้างยอดดาวน์โหลดปลอมให้ดูน่าเชื่อถือ ซึ่งช่วยให้แพ็กเกจขึ้นอันดับต้น ๆ ในผลการค้นหา
นอกจากนี้ยังพบว่าแพ็กเกจนี้มีความเชื่อมโยงกับแพ็กเกจอันตรายก่อนหน้าอย่าง NethereumNet ซึ่งใช้โค้ด exfiltration แบบเดียวกันและเชื่อมต่อกับ C2 เดียวกัน โดยเผยแพร่ภายใต้ชื่อผู้ใช้ “NethereumCsharp”
Socket ยืนยันว่าแพ็กเกจเหล่านี้มี backdoor ฝังอยู่ในฟังก์ชันที่ดูเหมือน transaction helper ของจริง ทำให้การขโมยข้อมูลเกิดขึ้นแบบเงียบ ๆ ระหว่างการใช้งานปกติ
รายละเอียดของแพ็กเกจปลอม
ชื่อแพ็กเกจคือ Netherеum.All (ใช้ตัวอักษรซีริลลิก)
แอบอ้างเป็นไลบรารี Nethereum ของ .NET
เผยแพร่โดยผู้ใช้ชื่อ “nethereumgroup”
ใช้เทคนิค homoglyph typosquatting และ download inflation
โครงสร้างและ metadata เหมือนของจริงทุกประการ
พฤติกรรมการขโมยข้อมูล
รันฟังก์ชัน Shuffle() ที่ใช้ XOR mask ถอดรหัส URL
ส่งข้อมูลไปยัง C2 solananetworkinstance[.]info/api/gads
ฟิลด์ message อาจบรรจุ mnemonic, private key หรือ keystore
ฝังอยู่ใน transaction helper ที่ดูเหมือนของจริง
ทำงานเงียบ ๆ ระหว่างการใช้งานปกติ
ความเชื่อมโยงกับแพ็กเกจอื่น
มีความคล้ายกับแพ็กเกจ NethereumNet ที่ถูกลบไปแล้ว
ใช้โค้ด exfiltration และ C2 เดียวกัน
เผยแพร่โดยผู้ใช้ “NethereumCsharp”
เป็นแคมเปญแบบ coordinated supply chain attack
https://securityonline.info/socket-uncovers-malicious-nuget-typosquat-nether%d0%b5um-all-exfiltrating-wallet-keys-via-solana-themed-c2/
ทีมนักวิจัยจาก Socket พบแพ็กเกจอันตรายบน NuGet ที่ชื่อว่า Netherеum.All ซึ่งแอบอ้างเป็นไลบรารี Nethereum ของ .NET โดยใช้เทคนิค homoglyph typosquatting คือเปลี่ยนตัวอักษร “e” ให้เป็นตัวอักษรซีริลลิกที่หน้าตาเหมือนกัน (U+0435) เพื่อหลอกสายตานักพัฒนา
แพ็กเกจนี้ถูกเผยแพร่ภายใต้ชื่อผู้ใช้ “nethereumgroup” และมีโครงสร้างเหมือนของจริงทุกประการ ทั้ง namespace, metadata และคำสั่งติดตั้ง ทำให้แม้แต่นักพัฒนาที่มีประสบการณ์ก็อาจตกเป็นเหยื่อได้
เมื่อถูกติดตั้ง แพ็กเกจจะรันฟังก์ชันชื่อว่า Shuffle() ซึ่งใช้เทคนิค XOR masking เพื่อถอดรหัส URL สำหรับส่งข้อมูลไปยังเซิร์ฟเวอร์ C2 ที่ชื่อว่า solananetworkinstance[.]info/api/gads โดยข้อมูลที่ส่งออกไปมีชื่อฟิลด์ว่า message ซึ่งอาจเป็น mnemonic, private key, keystore JSON หรือแม้แต่ transaction ที่เซ็นแล้ว
Socket ระบุว่าแพ็กเกจนี้ใช้เทคนิค download inflation เพื่อดันอันดับใน NuGet โดยสร้างยอดดาวน์โหลดปลอมให้ดูน่าเชื่อถือ ซึ่งช่วยให้แพ็กเกจขึ้นอันดับต้น ๆ ในผลการค้นหา
นอกจากนี้ยังพบว่าแพ็กเกจนี้มีความเชื่อมโยงกับแพ็กเกจอันตรายก่อนหน้าอย่าง NethereumNet ซึ่งใช้โค้ด exfiltration แบบเดียวกันและเชื่อมต่อกับ C2 เดียวกัน โดยเผยแพร่ภายใต้ชื่อผู้ใช้ “NethereumCsharp”
Socket ยืนยันว่าแพ็กเกจเหล่านี้มี backdoor ฝังอยู่ในฟังก์ชันที่ดูเหมือน transaction helper ของจริง ทำให้การขโมยข้อมูลเกิดขึ้นแบบเงียบ ๆ ระหว่างการใช้งานปกติ
รายละเอียดของแพ็กเกจปลอม
ชื่อแพ็กเกจคือ Netherеum.All (ใช้ตัวอักษรซีริลลิก)
แอบอ้างเป็นไลบรารี Nethereum ของ .NET
เผยแพร่โดยผู้ใช้ชื่อ “nethereumgroup”
ใช้เทคนิค homoglyph typosquatting และ download inflation
โครงสร้างและ metadata เหมือนของจริงทุกประการ
พฤติกรรมการขโมยข้อมูล
รันฟังก์ชัน Shuffle() ที่ใช้ XOR mask ถอดรหัส URL
ส่งข้อมูลไปยัง C2 solananetworkinstance[.]info/api/gads
ฟิลด์ message อาจบรรจุ mnemonic, private key หรือ keystore
ฝังอยู่ใน transaction helper ที่ดูเหมือนของจริง
ทำงานเงียบ ๆ ระหว่างการใช้งานปกติ
ความเชื่อมโยงกับแพ็กเกจอื่น
มีความคล้ายกับแพ็กเกจ NethereumNet ที่ถูกลบไปแล้ว
ใช้โค้ด exfiltration และ C2 เดียวกัน
เผยแพร่โดยผู้ใช้ “NethereumCsharp”
เป็นแคมเปญแบบ coordinated supply chain attack
https://securityonline.info/socket-uncovers-malicious-nuget-typosquat-nether%d0%b5um-all-exfiltrating-wallet-keys-via-solana-themed-c2/
🎯 “Socket แฉแพ็กเกจ NuGet ปลอม ‘Netherеum.All’ – ขโมยคีย์กระเป๋าคริปโตผ่าน C2 ธีม Solana!”
ทีมนักวิจัยจาก Socket พบแพ็กเกจอันตรายบน NuGet ที่ชื่อว่า Netherеum.All ซึ่งแอบอ้างเป็นไลบรารี Nethereum ของ .NET โดยใช้เทคนิค homoglyph typosquatting คือเปลี่ยนตัวอักษร “e” ให้เป็นตัวอักษรซีริลลิกที่หน้าตาเหมือนกัน (U+0435) เพื่อหลอกสายตานักพัฒนา
แพ็กเกจนี้ถูกเผยแพร่ภายใต้ชื่อผู้ใช้ “nethereumgroup” และมีโครงสร้างเหมือนของจริงทุกประการ ทั้ง namespace, metadata และคำสั่งติดตั้ง ทำให้แม้แต่นักพัฒนาที่มีประสบการณ์ก็อาจตกเป็นเหยื่อได้
เมื่อถูกติดตั้ง แพ็กเกจจะรันฟังก์ชันชื่อว่า Shuffle() ซึ่งใช้เทคนิค XOR masking เพื่อถอดรหัส URL สำหรับส่งข้อมูลไปยังเซิร์ฟเวอร์ C2 ที่ชื่อว่า solananetworkinstance[.]info/api/gads โดยข้อมูลที่ส่งออกไปมีชื่อฟิลด์ว่า message ซึ่งอาจเป็น mnemonic, private key, keystore JSON หรือแม้แต่ transaction ที่เซ็นแล้ว
Socket ระบุว่าแพ็กเกจนี้ใช้เทคนิค download inflation เพื่อดันอันดับใน NuGet โดยสร้างยอดดาวน์โหลดปลอมให้ดูน่าเชื่อถือ ซึ่งช่วยให้แพ็กเกจขึ้นอันดับต้น ๆ ในผลการค้นหา
นอกจากนี้ยังพบว่าแพ็กเกจนี้มีความเชื่อมโยงกับแพ็กเกจอันตรายก่อนหน้าอย่าง NethereumNet ซึ่งใช้โค้ด exfiltration แบบเดียวกันและเชื่อมต่อกับ C2 เดียวกัน โดยเผยแพร่ภายใต้ชื่อผู้ใช้ “NethereumCsharp”
Socket ยืนยันว่าแพ็กเกจเหล่านี้มี backdoor ฝังอยู่ในฟังก์ชันที่ดูเหมือน transaction helper ของจริง ทำให้การขโมยข้อมูลเกิดขึ้นแบบเงียบ ๆ ระหว่างการใช้งานปกติ
✅ รายละเอียดของแพ็กเกจปลอม
➡️ ชื่อแพ็กเกจคือ Netherеum.All (ใช้ตัวอักษรซีริลลิก)
➡️ แอบอ้างเป็นไลบรารี Nethereum ของ .NET
➡️ เผยแพร่โดยผู้ใช้ชื่อ “nethereumgroup”
➡️ ใช้เทคนิค homoglyph typosquatting และ download inflation
➡️ โครงสร้างและ metadata เหมือนของจริงทุกประการ
✅ พฤติกรรมการขโมยข้อมูล
➡️ รันฟังก์ชัน Shuffle() ที่ใช้ XOR mask ถอดรหัส URL
➡️ ส่งข้อมูลไปยัง C2 solananetworkinstance[.]info/api/gads
➡️ ฟิลด์ message อาจบรรจุ mnemonic, private key หรือ keystore
➡️ ฝังอยู่ใน transaction helper ที่ดูเหมือนของจริง
➡️ ทำงานเงียบ ๆ ระหว่างการใช้งานปกติ
✅ ความเชื่อมโยงกับแพ็กเกจอื่น
➡️ มีความคล้ายกับแพ็กเกจ NethereumNet ที่ถูกลบไปแล้ว
➡️ ใช้โค้ด exfiltration และ C2 เดียวกัน
➡️ เผยแพร่โดยผู้ใช้ “NethereumCsharp”
➡️ เป็นแคมเปญแบบ coordinated supply chain attack
https://securityonline.info/socket-uncovers-malicious-nuget-typosquat-nether%d0%b5um-all-exfiltrating-wallet-keys-via-solana-themed-c2/
0 Comments
0 Shares
32 Views
0 Reviews
Thai