Fri, 29 May 2026
← VoltarPacote NuGet malicioso 'Sicoob.Sdk' exfiltra IDs de clientes e certificados PFX de sistemas financeiros brasileiros.
Pesquisadores de segurança cibernética descobriram um pacote NuGet malicioso que se disfarça como um kit de desenvolvimento de software C# para o Sicoob, um dos maiores sistemas financeiros cooperativos do Brasil, para desviar IDs de clientes e certificados PFX. De acordo com a Socket, as versões 2.0.0 a 2.0.4 do “Sicoob.Sdk” contêm funcionalidades para exfiltrar informações confidenciais, incluindo certificados PFX que são usados para autenticar empresas na rede bancária Sicoob, a fim de automatizar operações bancárias, como processamento de pagamentos instantâneos e geração de códigos QR dinâmicos do Pix. Estima-se que o pacote tenha sido baixado quase 500 vezes. “Quando um desenvolvedor instancia o SicoobClient com um ID de cliente, um caminho de arquivo PFX e uma senha PFX, o pacote lê o arquivo PFX do disco, codifica seu conteúdo em Base64 e envia o ID de cliente fornecido, a senha PFX e os dados PFX codificados para um endpoint Sentry de terceiros codificado”, disse o pesquisador de segurança Kirill Boychenko.
Além disso, o pacote foi projetado para capturar respostas brutas da API do Boleto por meio de um caminho Sentry separado. Boleto é um método de pagamento em dinheiro popular no Brasil para fazer compras online e offline. Isso pode expor detalhes confidenciais de transações, status de pagamento, valores, datas de vencimento, identificadores e dados do pagador ou beneficiário. Como resultado, os dados roubados podem abrir a porta para riscos graves, pois podem ser usados de forma abusiva pelo autor da ameaça para se passar pela integração da API bancária do Sicoob da vítima, acrescentou Socket.
Após divulgação responsável, o pacote foi bloqueado pelo NuGet. O perfil por trás do pacote, denominado “sicoob”, também listou outros 11 pacotes NuGet que acumularam coletivamente cerca de 6.000 downloads. A empresa de segurança de aplicativos também disse que o pacote foi divulgado pelo Google Search AI Mode como uma biblioteca C# legítima para interagir com APIs bancárias do Sicoob, amplificando assim o pacote malicioso para desenvolvedores desavisados que possam estar procurando por ele. Outro aspecto importante do ataque é a incompatibilidade entre a origem e o pacote entre o repositório GitHub vinculado e o artefato distribuído via NuGet.
Suspeita-se que o repositório GitHub foi projetado para dar uma aparência de legitimidade à operação, mantendo-a limpa, enquanto a funcionalidade maliciosa de roubo de dados é introduzida apenas no pacote carregado no registro. Além do mais, o comprometimento do material de autenticação da API do Sicoob também pode representar riscos indiretos para os usuários finais, pois pode vazar dados financeiros downstream ou permitir abuso de pagamento. Recomenda-se que as organizações que instalaram o "Sicoob.Sdk" removam imediatamente o pacote, tratem o material PFX como comprometido, substituam os certificados PFX expostos, alternem as senhas PFX e alterem ou desabilitem os IDs dos clientes afetados, quando aplicável. Também é aconselhável auditar a autenticação do Sicoob e os logs da API em busca de sinais de atividades incomuns.
O desenvolvimento coincide com a descoberta de 14 pacotes npm maliciosos que fazem typosquat bem conhecidos de OpenSearch, ElasticSearch, DevOps e bibliotecas de configuração de ambiente para coletar credenciais da AWS, tokens HashiCorp Vault, tokens npm e segredos de pipeline de CI/CD do ambiente host usando um coletor de credenciais desenvolvido especificamente que é lançado por meio de um gancho de pré-instalação. De acordo com a equipe de pesquisa de segurança do Microsoft Defender, os pacotes foram publicados por um único ator de ameaça chamado "vpmdhaj" ("[email protected]") em 28 de maio de 2026. Os nomes dos pacotes estão abaixo - As descobertas são as mais recentes em uma onda impressionante de campanhas de ataque à cadeia de suprimentos que têm como alvo o ecossistema npm nos últimos dias - Em um relatório recém-publicado, Sonatype disse que os atores de ameaças superaram as técnicas clássicas de typosquatting, indo além do óbvio erros ortográficos ao uso de nomes que parecem convincentes em fluxos de trabalho de desenvolvedores legítimos para roubar dados e descartar cargas maliciosas. Isso, por sua vez, transforma uma etapa rotineira de instalação em um caminho propenso a riscos para reconhecimento, roubo de credenciais e comprometimento subsequente.
Técnicas populares de brandjacking, incluindo adição de prefixo ou sufixo ude, confusão de dependência, mimetismo de versão, termos de destino incorporados, escopos ou namespaces alterados e nomes que se assemelham à função de um pacote legítimo. “'Typosquatting' é agora um rótulo muito restrito para o que esta análise captura”, disse a empresa de segurança da cadeia de abastecimento. “O padrão mais amplo é a legitimidade fabricada: os invasores projetam nomes de pacotes para parecerem plausíveis, úteis e operacionalmente rotineiros dentro dos ecossistemas de software modernos”. Esses incidentes também se desenrolaram contra uma série de comprometimentos da cadeia de suprimentos de software que foram vinculados ao TeamPCP (também conhecido como Replicating Marauder e UNC6780), que se tornou uma força a ser reconhecida ao envenenar ferramentas populares de desenvolvedores em NPM, PyPI, Docker Hub e Packagist de uma forma semelhante a um worm.
“Replicar o Marauder não foi apenas inserir código malicioso em pacotes, mas também explorar a automação, a confiança herdada e os fluxos de trabalho comuns de CI/CD para levar o comprometimento ainda mais adiante”, disse o pesquisador da BlueVoyant, Michael Warren. “Este foi o ponto em que a campanha demonstrou mais claramente que uma dependência envenenada ou imagem de contêiner poderia desencadear comprometimento no pipeline de lançamento de uma organização não relacionada. A mudança tática transformou o envenenamento isolado de software em um método reproduzível para expansão de vítima para vítima.” Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.