Des chercheurs en cybersécurité ont découvert un paquet NuGet malveillant se faisant passer pour un kit de développement logiciel C# pour **Sicoob**, l'un des plus grands systèmes financiers coopératifs du Brésil. Le but de ce paquet est de siphonner les identifiants clients et les certificats PFX. Selon **Socket**, les versions 2.0.0 à 2.0.4 de "Sicoob.Sdk" contiennent des fonctionnalités permettant d'exfiltrer des informations sensibles. Cela inclut les certificats PFX utilisés pour authentifier les entreprises auprès du réseau bancaire Sicoob afin d'automatiser les opérations bancaires, telles que le traitement des paiements instantanés et la génération de codes QR Pix dynamiques. Le paquet a été téléchargé environ 500 fois. "Lorsqu'un développeur instancie SicoobClient avec un identifiant client, un chemin de fichier PFX et un mot de passe PFX, le paquet lit le fichier PFX depuis le disque, encode son contenu en Base64, et envoie l'identifiant client fourni, le mot de passe PFX et les données PFX encodées à un point de terminaison **Sentry** tiers codé en dur", a déclaré le chercheur en sécurité Kirill Boychenko. ### Vol de données de l'API Boleto De plus, le paquet est conçu pour capturer les réponses brutes de l'API Boleto via un chemin Sentry distinct. **Boleto** est une méthode de paiement en espèces populaire au Brésil pour les achats en ligne et hors ligne. Cela pourrait exposer des détails de transaction sensibles, l'état du paiement, les montants, les dates d'échéance, les identifiants et les données du payeur/bénéficiaire. Socket avertit que les données volées pourraient entraîner des risques graves, permettant aux acteurs malveillants d'usurper l'intégration de l'API bancaire Sicoob de la victime. Suite à une divulgation responsable, **NuGet** a bloqué le paquet. Le profil derrière le paquet, nommé "sicoob", listait 11 autres paquets NuGet avec environ 6 000 téléchargements. Notamment, le mode IA de **Google Search** avait fait apparaître le paquet malveillant comme une bibliothèque C# légitime pour interagir avec les API bancaires Sicoob, amplifiant potentiellement sa portée. ### Discordance du code source Un autre aspect critique est la discordance entre la source et le paquet, entre le dépôt **GitHub** lié et l'artefact distribué via NuGet. Le dépôt GitHub est soupçonné de fournir un vernis de légitimité, tandis que la fonctionnalité malveillante de vol de données n'est introduite que dans le paquet téléchargé sur le registre. Le compromis du matériel d'authentification de l'API Sicoob peut également présenter des risques indirects pour les utilisateurs finaux, potentiellement en divulguant des données financières en aval ou en permettant des abus de paiement. ### Étapes d'atténuation Les organisations qui ont installé "Sicoob.Sdk" sont invitées à supprimer immédiatement le paquet, à considérer le matériel PFX comme compromis, à remplacer les certificats PFX exposés, à faire pivoter les mots de passe PFX et à modifier ou désactiver les identifiants clients affectés. Il est également recommandé d'auditer les journaux d'authentification et d'API Sicoob pour détecter toute activité inhabituelle. ### Attaques plus larges sur la chaîne d'approvisionnement La découverte s'aligne sur la récente constatation de l'équipe de recherche en sécurité de **Microsoft Defender** concernant 14 paquets npm malveillants qui usurpent l'identité de bibliothèques bien connues pour **OpenSearch**, **ElasticSearch**, DevOps et la configuration d'environnement. Ces paquets récoltent des identifiants **AWS**, des jetons **HashiCorp Vault**, des jetons npm et des secrets de pipeline CI/CD à partir de l'environnement hôte à l'aide d'un récolteur d'identifiants lancé via un hook preinstall.  Ces paquets, publiés par "vpmdhaj" le 28 mai 2026, incluent : * @vpmdhaj/devops-tools * @vpmdhaj/elastic-helper * @vpmdhaj/opensearch-setup * @vpmdhaj/search-setup * app-config-utility * elastic-opensearch-helper * env-config-manager * opensearch-config-utility * opensearch-security-scanner * opensearch-setup * opensearch-setup-tool * search-cluster-setup * search-engine-setup * vpmdhaj-opensearch-setup Ces incidents font partie d'une recrudescence des attaques sur la chaîne d'approvisionnement ciblant l'écosystème npm : * 164 paquets npm malveillants dans cinq espaces nommés exfiltrant des variables d'environnement. * 141 paquets npm malveillants abusant de npm pour un proxy web monétisé par la publicité ciblant les étudiants. * Le paquet npm "forge-jsxy", un cheval de Troie d'accès à distance (RAT) avec des capacités de keylogging, de surveillance du presse-papiers et de scan de portefeuilles de cryptomonnaies, lié à la campagne "forge-jsx". * 176 paquets npm malveillants utilisant la confusion de dépendance pour distribuer un script postinstall pour la reconnaissance et le vol d'identifiants. **Sonatype** rapporte que les acteurs malveillants vont au-delà de l'usurpation de noms, utilisant des noms qui semblent légitimes dans les flux de travail des développeurs pour voler des données et déployer des payloads malveillants. Cela fait des installations de routine une voie risquée pour la reconnaissance, le vol d'identifiants et le compromis.  Les techniques populaires de "brandjacking" incluent l'ajout de préfixes/suffixes, la confusion de dépendance, l'imitation de versions, les termes cibles intégrés, les scopes/espaces nommés modifiés et les noms ressemblant à des fonctions de paquet légitimes. **BlueVoyant** a lié de récents compromis de chaîne d'approvisionnement logicielle à **TeamPCP**, un acteur malveillant connu pour empoisonner les outils de développement sur npm, PyPI, Docker Hub et Packagist de manière similaire à un ver. TeamPCP exploite l'automatisation, la confiance héritée et les flux de travail CI/CD pour propager les compromis en aval.