Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ekosystemy pakietów programistycznych, takie jak NuGet i npm, od dawna stanowią atrakcyjny cel dla cyberprzestępców prowadzących ataki na łańcuch dostaw oprogramowania. Najnowszy przypadek pokazuje, że napastnicy coraz częściej odchodzą od prostego typosquattingu i publikują biblioteki, które wyglądają jak wiarygodne komponenty biznesowe gotowe do wykorzystania w produkcyjnych integracjach.
W analizowanym incydencie złośliwy pakiet NuGet o nazwie „Sicoob.Sdk” podszywał się pod bibliotekę C# przeznaczoną do integracji z brazylijskim systemem bankowości spółdzielczej Sicoob. Celem operacji było przechwytywanie wrażliwego materiału uwierzytelniającego, w tym danych klienta i certyfikatów wykorzystywanych do komunikacji z API bankowym.
W skrócie
Badacze bezpieczeństwa wykryli, że pakiet „Sicoob.Sdk” w wersjach 2.0.0–2.0.4 zawierał mechanizmy służące do wykradania poświadczeń integracyjnych. Biblioteka miała przechwytywać identyfikator klienta, hasło do pliku PFX oraz zawartość samego certyfikatu, a następnie przesyłać te dane do zewnętrznego endpointu.
Według ujawnionych ustaleń pakiet zbierał również odpowiedzi API związane z płatnościami Boleto. Po zgłoszeniu zagrożenia pakiet został zablokowany, jednak incydent podkreśla, jak łatwo pozornie użyteczna zależność może stać się narzędziem do kompromitacji procesów finansowych i środowisk deweloperskich.
- Złośliwy pakiet podszywał się pod SDK bankowe.
- Atak był ukierunkowany na przejęcie poświadczeń o wysokiej wartości.
- Eksfiltrowane miały być także dane związane z odpowiedziami API płatności.
- Incydent wpisuje się w szerszy trend ataków na supply chain software.
Kontekst / historia
Ataki na łańcuch dostaw oprogramowania w ostatnich latach ewoluowały z incydentów wymierzonych w pojedyncze projekty open source do kampanii ukierunkowanych na narzędzia codziennie używane przez programistów, administratorów i zespoły DevOps. W praktyce oznacza to, że napastnik nie musi bezpośrednio włamywać się do infrastruktury ofiary. Wystarczy, że doprowadzi do uruchomienia zainfekowanego pakietu w zaufanym środowisku.
W przypadku „Sicoob.Sdk” szczególnie istotne jest to, że nie był to generyczny malware nastawiony na masową infekcję. Biblioteka odnosiła się do konkretnej potrzeby biznesowej, czyli integracji finansowych, co znacząco zwiększało jej wiarygodność i szansę na wdrożenie w realnych projektach.
Dodatkowym elementem ryzyka był rozdźwięk pomiędzy publicznie prezentowanym kodem źródłowym a artefaktem opublikowanym w rejestrze pakietów. To coraz częstszy wzorzec w nowoczesnych kampaniach supply chain, gdzie repozytorium ma budować zaufanie, natomiast złośliwa logika pojawia się dopiero w paczce instalowanej przez użytkownika.
Analiza techniczna
Z technicznego punktu widzenia pakiet został przygotowany tak, aby przechwytywać dane używane do uwierzytelniania integracji z API bankowym. W momencie inicjalizacji klienta biblioteka miała odczytywać identyfikator klienta, ścieżkę do pliku PFX oraz hasło do certyfikatu. Następnie odczytany plik PFX był kodowany i przekazywany razem z pozostałymi danymi do zewnętrznego serwera.
Taki mechanizm ma bardzo poważne implikacje bezpieczeństwa. Plik PFX zawiera materiał kryptograficzny wykorzystywany do uwierzytelniania aplikacji wobec usług finansowych. Jeżeli atakujący pozyska zarówno certyfikat, jak i hasło, może próbować odtworzyć zaufaną tożsamość aplikacji i wykonywać operacje w imieniu legalnej integracji.
Analiza wskazuje również, że pakiet przechwytywał odpowiedzi API związane z Boleto. Dane tego typu mogą zawierać szczegóły płatności, identyfikatory transakcji, kwoty, terminy oraz informacje o stronach operacji. Nawet jeśli nie prowadzi to bezpośrednio do przejęcia rachunku, znacząco zwiększa wartość operacyjną wycieku i może wspierać dalsze nadużycia.
Istotny jest także aspekt operacyjny całej kampanii. Złośliwa biblioteka została przedstawiona jako legalne narzędzie deweloperskie, co pokazuje, że ryzyko nie ogranicza się do samego rejestru pakietów. Problem obejmuje także mechanizmy odkrywania bibliotek, rekomendacji i wyszukiwania rozwiązań przez programistów.
Równolegle ujawniono również złośliwe pakiety npm, których celem była kradzież sekretów chmurowych, tokenów oraz danych z pipeline’ów CI/CD. Wskazuje to na szerszy trend, w którym napastnicy próbują przejmować nie tylko aplikacje, ale również cały proces wytwarzania i publikacji oprogramowania.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem incydentu jest możliwość kompromitacji materiału uwierzytelniającego używanego do integracji finansowej. Utrata identyfikatora klienta, hasła do PFX i samego certyfikatu może umożliwić podszycie się pod legalną aplikację, wykonywanie nieautoryzowanych operacji oraz pozyskanie danych transakcyjnych.
Dla organizacji korzystających z automatyzacji bankowej oznacza to realne ryzyko operacyjne, finansowe i regulacyjne. W środowiskach obsługujących płatności, generowanie dokumentów rozliczeniowych lub integracje z API bankowymi skutki mogą być szczególnie dotkliwe.
- przejęcie kanału komunikacji z API bankowym,
- ryzyko nadużyć płatniczych i nieautoryzowanych operacji,
- wyciek danych finansowych oraz danych kontrahentów,
- konieczność wymiany certyfikatów i rekonfiguracji integracji,
- naruszenia zgodności i obowiązków regulacyjnych,
- możliwość dalszej eskalacji w środowisku CI/CD i chmurze.
W szerszym ujęciu incydent pokazuje, że klasyczne podejście oparte wyłącznie na wykrywaniu literówek w nazwach pakietów przestaje być wystarczające. Złośliwy komponent może wyglądać profesjonalnie, odpowiadać na realną potrzebę biznesową i nadal zawierać funkcje przeznaczone do kradzieży danych.
Rekomendacje
Organizacje, które mogły korzystać z „Sicoob.Sdk” w podatnych wersjach, powinny traktować ten przypadek jako potencjalną kompromitację poświadczeń. Oznacza to konieczność natychmiastowego usunięcia pakietu z projektów, środowisk buildowych oraz stacji deweloperskich, a następnie przeprowadzenia pełnej rotacji materiału uwierzytelniającego.
- usunąć pakiet i zweryfikować wszystkie zależności oraz cache menedżera pakietów,
- unieważnić i wymienić certyfikaty PFX używane w integracji,
- zmienić hasła do plików PFX oraz identyfikatory lub tokeny klienta,
- przeanalizować logi uwierzytelniania i wywołań API,
- sprawdzić, czy nie doszło do dodatkowej eksfiltracji danych transakcyjnych,
- zweryfikować integralność pipeline’ów build i release,
- wprowadzić allowlisty zaufanych pakietów i publisherów,
- porównywać kod źródłowy z publikowanym artefaktem,
- monitorować zachowanie pakietów podczas instalacji i buildów,
- ograniczać użycie długowiecznych poświadczeń na rzecz krótkoterminowych sekretów.
Ważnym elementem ochrony pozostaje również edukacja zespołów developerskich. Profesjonalnie wyglądające repozytorium lub biblioteka rozwiązująca konkretny problem biznesowy nie powinny być automatycznie uznawane za bezpieczne. Weryfikacja autora, historii publikacji, zgodności binariów z kodem źródłowym oraz reputacji pakietu powinna stać się standardową częścią procesu wdrożeniowego.
Podsumowanie
Złośliwy pakiet „Sicoob.Sdk” jest przykładem dojrzałego ataku na łańcuch dostaw oprogramowania, w którym celem nie jest jedynie infekcja pojedynczego systemu, lecz przejęcie wartościowych poświadczeń wykorzystywanych w integracjach finansowych. Kradzież identyfikatora klienta, hasła i certyfikatu PFX może prowadzić do bardzo poważnych konsekwencji biznesowych, w tym do podszycia się pod legalną aplikację w systemie bankowym.
Równoległe kampanie wymierzone w ekosystem npm potwierdzają, że zagrożenie obejmuje całe środowisko developerskie: od bibliotek aplikacyjnych po sekrety chmurowe i pipeline’y CI/CD. Dla zespołów bezpieczeństwa to wyraźny sygnał, że konieczna jest pełna walidacja pochodzenia, integralności i zachowania zależności, a nie tylko pobieżna ocena nazwy pakietu.
Źródła
- https://thehackernews.com/2026/05/malicious-sicoob-nuget-steals-banking.html
- https://socket.dev/blog/malicious-sicoob-nuget-package-exfiltrates-banking-credentials
- https://www.microsoft.com/en-us/security/blog/
- https://www.nuget.org/packages/Sicoob.Sdk
- https://owasp.org/www-project-software-supply-chain-security/