Especialistas da empresa Socket detectaram um pacote malicioso incomum, o Sicoob.Sdk, no repositório NuGet. O malware se apresentava como um SDK oficial em C# para interagir com a API do Sicoob, um sistema cooperativo financeiro brasileiro, com o objetivo de roubar dados de autenticação essenciais para empresas que utilizam a infraestrutura bancária.
As versões do pacote de 2.0.0 a 2.0.4 continham o código malicioso, e a ameaça já havia sido baixada mais de 500 vezes. O Sicoob é uma das maiores redes de cooperativas financeiras do Brasil, e sua API é amplamente utilizada por empresas para automatizar operações bancárias, como o processamento de pagamentos instantâneos e a geração de QR Codes dinâmicos para o sistema de pagamentos Pix. A funcionalidade maliciosa era ativada no momento em que um desenvolvedor criava uma instância do cliente SicoobClient. A biblioteca maliciosa lia o certificado PFX do disco, codificava seu conteúdo em Base64 e o enviava para um servidor controlado por atacantes, juntamente com o ID do cliente e a senha do certificado.
As capacidades do malware não se limitavam apenas ao roubo de certificados. O pacote também interceptava respostas da API do Boleto, um popular método de pagamento no Brasil para compras online e offline, e as encaminhava para os operadores do ataque. Essas informações podem incluir valores de pagamento, datas de vencimento, identificadores de transação e detalhes sobre pagadores e beneficiários. A Socket alertou que o roubo de certificados PFX, em conjunto com suas senhas, representa um risco significativo. Com esses dados em mãos, os cibercriminosos poderiam se passar por integrações legítimas com a API bancária, executando operações em nome das organizações comprometidas. Pior ainda, a exfiltração dessas credenciais pode levar ao vazamento de informações financeiras de clientes e a abusos em transações de pagamento.
Os pesquisadores também destacaram que o malware foi ativamente promovido através do "Modo IA" do Google. O sistema recomendava o Sicoob.Sdk como uma biblioteca legítima para interagir com a API do banco, o que potencialmente levou a um número maior de infecções entre os desenvolvedores. Após serem notificados pelos pesquisadores, os administradores do NuGet bloquearam o pacote malicioso. Foi descoberto que a conta sicoob, responsável pela publicação do Sicoob.Sdk, havia disponibilizado outros 11 pacotes, que somavam aproximadamente 6.000 downloads. Organizações que utilizaram o Sicoob.Sdk devem remover o pacote imediatamente, considerar todos os certificados PFX associados como comprometidos, substituir os certificados e senhas, e revisar os logs de autenticação e API em busca de atividades suspeitas.
