Sicherheitslücke im Sicoob SDK: Bösartiges NuGet-Paket stiehlt Bankpasswörter

Angesichts der Größe, das Millionen bedient, war die Positionierung des Pakets für Entwickler, die Finanzanwendungen erstellen, besonders attraktiv. Eine tiefere Analyse ergab jedoch, dass das SDK versteckte Funktionen zur Datenexfiltration enthielt.

Wenn Entwickler den bereitgestellten Client mit einer Client-ID, einer PFX-Zertifikatsdatei und einem Passwort initialisierten, las das Paket heimlich das Zertifikat kodierte es. Es wurde zusammen mit dem Klartext-Passwort und der Client-ID an einen Drittanbieter-Endpunkt übermittelt.

Eine PFX-Datei enthält in der Regel sowohl ein Zertifikat als auch den zugehörigen privaten Schlüssel, was für eine sichere Authentifizierung entscheidend ist. Durch Diebstahl sowohl des Zertifikatsarchivs als auch des Passworts könnten Angreifer legitime Bank-Integrationen nachahmen und unbefugten Zugriff auf sensible Finanz-APIs erlangen.

Sicherheitslage und Risiko

Besonders gefährlich ist dieser Angriff aufgrund seiner Nutzung legitimer Telemetrie-Infrastrukturen. Anstatt traditionelle Command-and-Control-Server zu verwenden, nutzte das bösartige SDK Sentry, eine weit verbreitete und vertrauenswürdige Fehlerüberwachungsplattform, um gestohlene Daten zu übertragen.

Dieser Ansatz ermöglichte es der Datenexfiltration, sich in die normale Anwendungs-Telemetrie einzufügen und eine Erkennung zu umgehen. Statische und dynamische Analysen bestätigten, dass die Exfiltration während der Initialisierung des SDK im Produktionsmodus stattfand.

Der Code initialisierte eine fest codierte Sentry-Konfiguration und übermittelte die erfassten Zugangsdaten als Teil einer Telemetrie-Nachricht. In einigen Fällen wurden sogar Finanztransaktionsdaten, wie etwa Antworten auf Boleto-Zahlungen, übermittelt, wodurch Transaktionsdetails, Zahlungsinformationen und der Zahlungszustand offengelegt wurden.

Sicherheitslage und Risiko

Das öffentliche GitHub-Repository, das mit dem SDK verknüpft ist, wirkte sauber und enthielt nicht die bösartige Logik, die im kompilierten NuGet-Paket vorlag. Diese Diskrepanz deutet auf einen absichtlichen Supply-Chain-Angriff hin, bei dem eine harmlos wirkende Codebasis als Fassade diente, während ein manipuliertes Binärprogramm über NuGet verteilt wurde.

Supply-Chain-Spoofing Der Angriff ging über ein einzelnes Paket hinaus. Das Verlegerkonto beherbergte mehrere Sicoob-gebrandete Pakete, die alle als offizielle Module ausgegeben wurden. Obwohl nur das Haupt-SDK bestätigtes bösartiges Verhalten aufwies, werden alle damit verbundenen Pakete aufgrund ihres gemeinsamen Ursprungs als unzuverlässig eingestuft.

Weitere Untersuchungen ergaben, dass die GitHub-Organisation hinter dem Projekt keine Vertrauensindikatoren aufwies, wie beispielsweise verifizierte Konten, etablierte Mitwirkende oder Community-Aktivität. Dies deutet stark auf eine Identitätsübernahme des offiziellen Entwickler-Ökosystems dieses Vorfalls können schwerwiegend sein.

Technischer Hintergrund

Wenn Angreifer gestohlene Zugangsdaten erfolgreich einsetzen, könnten sie auf Banking-APIs zugreifen, um Kontodaten abzurufen, Transaktionen zu initiieren oder Zahlungssysteme wie Pix und Boleto zu missbrauchen. Darüber hinaus sind CI/CD-Pipelines und Produktionsumgebungen einem höheren Risiko ausgesetzt, da sie häufig echte Zugangsdaten verarbeiten.

Sicherheitsforscher meldeten das Problem an NuGet, Sentry und Sicoob, was zu schnellen Gegenmaßnahmen führte, einschließlich der Entfernung der Pakete. Laut Security News weitergegebenen Informationen sollten betroffene Organisationen ihre Zugangsdaten ändern, Zertifikate widerrufen und API-Aktivitäten auf verdächtige Zugriffe überprüfen.

Vor diesem Hintergrund wird die zunehmende Komplexität, insbesondere im Finanzsektor, in dem vertrauenswürdige Entwicklerwerkzeuge zu wirksamen Vektoren für die Diebstahl können. Abi ist Security-Editorin und Reporterin bei