5 packages NuGet malveillants imitent des bibliothèques .NET chinoises pour voler identifiants et cryptomonnaies

🔍 Contexte

Publié le 6 mai 2026 par Socket’s Threat Research Team, cet article présente la découverte de cinq packages NuGet malveillants publiés sous le compte bmrxntfj, actifs depuis au moins septembre 2025 et ayant accumulé environ 64 784 téléchargements toutes versions confondues.

📦 Packages malveillants identifiés

Les cinq packages usurpent des bibliothèques .NET chinoises légitimes :

• IR.DantUI et IR.OscarUI : imitent AntdUI (bibliothèque WinForms sur Gitee)
• IR.Infrastructure.Core, IR.Infrastructure.DataService.Core, IR.iplus32 : imitent des bibliothèques d’entreprise chinoises internes

L’opérateur maintient 219 versions masquées (listed: false) sur 224 au total, ne laissant visible qu’une seule version à la fois pour éviter la détection. Une rotation de versions active invalide les IOCs basés sur les hashes de fichiers.

⚙️ Chaîne d’attaque

Stage 1 – Initialisation et hook JIT :

• Le payload se déclenche via le module initializer .NET, avant tout code applicatif
• Utilise .NET Reactor (mode Necrobit) pour chiffrer les corps de méthodes
• Alloue une région mémoire RWX via VirtualAlloc(PAGE_EXECUTE_READWRITE)
• Patche clrjit.dll!getJit avec un JMP pour contrôler le pipeline JIT
• Compatible Windows, Linux (/proc/self/mem, mmap, mprotect) et macOS
• Évasion statique via string-split pour reconstruire les noms d’API à l’exécution

Stage 2 – Exécution de l’infostealer (we4ftg.exe) :

• 12 navigateurs Chromium ciblés (Chrome, Edge, Brave, Opera, Vivaldi, Epic, Torch, Comodo, Slimjet, Iridium, 7Star, AVG Secure Browser) + Firefox/Thunderbird
• Déchiffrement de la clé maître Chromium via IElevator COM (v10 DPAPI et v20 AppBound depuis Chrome 127)
• 5 extensions de portefeuilles crypto : MetaMask, TronLink, Phantom, Trust Wallet, Coinbase Wallet
• 8 portefeuilles desktop : Exodus, Electrum, Atomic, Guarda, Coinomi, Ledger, Jaxx, Binance
• Vol de clés SSH (id_rsa), profils Outlook, sessions Steam, fichiers Documents/Desktop/Downloads
• Injection de processus via SharpInjector avec PEB-walking (dllhost.exe, explorer.exe)
• Staging sous C:\ProgramData\Microsoft OneDrive\keys.dat
• Exfiltration vers https://dns-providersa2[.]com/upload avec en-têtes HTTP aléatoires X-{abc}
• 22 hashes SHA-256 en liste noire interne (anti-sandbox/anti-analyste)

🔗 Attribution

Pivot via la clé RSA-1024 unique de .NET Reactor (modulus base64 : zlUkMywGKDNbeJxH) reliant les packages à 4 fichiers VirusTotal (dont s4.exe, dump mémoire live daté du 2026-04-04). Labels YARA associés : Lumma, Quantum, AgentRacoon, ArrowRAT.

🌐 Infrastructure C2

• dns-providersa2[.]com : enregistré le 2026-03-12, résout vers 62.84.102.85 (VDSINA, ASN 216071, Amsterdam), registrant shell company UAE, nameservers Njalla
• git.justdotrip.com (47.100.60.237) : serveur Git privé sur Alibaba Cloud Shanghai, infrastructure de développement de l’opérateur

📊 Type d’article

Publication de recherche technique par Socket Threat Research Team, visant à documenter une campagne active de compromission de la chaîne d’approvisionnement logicielle ciblant les développeurs .NET de l’écosystème chinois.

🧠 TTPs et IOCs détectés

Acteurs de menace

• bmrxntfj (unknown) —

TTP

• T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1055.013 — Process Injection: Process Doppelgänging (Defense Evasion)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1005 — Data from Local System (Collection)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1552.001 — Unsecured Credentials: Credentials in Files (Credential Access)
• T1560 — Archive Collected Data (Collection)
• T1082 — System Information Discovery (Discovery)
• T1083 — File and Directory Discovery (Discovery)

IOC

• IPv4 : 62.84.102.85 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.100.60.237 — AbuseIPDB · VT · ThreatFox
• Domaines : dns-providersa2.com — VT · URLhaus · ThreatFox
• Domaines : git.justdotrip.com — VT · URLhaus · ThreatFox
• Domaines : justdotrip.com — VT · URLhaus · ThreatFox
• Domaines : 1-you.njalla.no — VT · URLhaus · ThreatFox
• Domaines : 2-can.njalla.in — VT · URLhaus · ThreatFox
• Domaines : 3-get.njalla.fo — VT · URLhaus · ThreatFox
• URLs : https://dns-providersa2.com/check — URLhaus
• URLs : https://dns-providersa2.com/upload — URLhaus
• SHA256 : e1869d6571894f058dd4ab2b66f060628dc364ee8e29afbd2323c95e5002fb8e — VT · MalwareBazaar
• SHA256 : 8f7aa15c77bde94087bb74dfc072e25212797b313731b4cad0ded3e152268dcf — VT · MalwareBazaar
• SHA256 : 34e2d63b5db7e24c808711c2ca0c0a42afde97a0086d7d81609110c002d18d7c — VT · MalwareBazaar
• SHA256 : b8543b2a1ad8862ebfef18924cf5444d2adfee996939963f4fc2748c582cf9a9 — VT · MalwareBazaar
• SHA256 : b8fa1b2fade45304c003909e375d2519ea447b498b7d93fe7c50db014d30f4fa — VT · MalwareBazaar
• SHA256 : 019e6c2cf58386039133981f3377b085fbd70c98ae8613c7c6a4f10a9f2d9824 — VT · MalwareBazaar
• SHA256 : 596c453c9dbb7240f1ce05cc025496524ce7c538c23a9b2171174bf32b5691a1 — VT · MalwareBazaar
• Fichiers : s4.exe
• Fichiers : we4ftg.exe
• Fichiers : keys.dat
• Fichiers : CRYPT32.DLL.MUI
• Fichiers : mscorrc.dll
• Chemins : C:\ProgramData\Microsoft OneDrive\keys.dat

Malware / Outils

• we4ftg.exe (stealer)
• .NET Reactor (Necrobit) (tool)
• SharpInjector (tool)
• Rip scraper (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ socket.dev — source reconnue (liste interne) (20pts)
• ✅ 23424 chars — texte complet (fulltext extrait) (15pts)
• ✅ 23 IOCs dont des hashes (15pts)
• ✅ 3/10 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 11 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : bmrxntfj (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 62.84.102.85 (ip) → VT (14/92 détections) + ThreatFox (Unknown malware)
• e1869d6571894f05… (sha256) → VT (10/76 détections)
• dns-providersa2.com (domain) → VT (22/92 détections) + ThreatFox (Unknown malware)

🔗 Source originale : https://socket.dev/blog/5-malicious-nuget-packages-impersonate-chinese-ui-libraries