https://cyberveille.ch/tags/bmrxntfj/ Recent content in Bmrxntfj on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 08 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-08-5-packages-nuget-malveillants-imitent-des-bibliotheques-net-chinoises-pour-voler-identifiants-et-cryptomonnaies/ Fri, 08 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-08-5-packages-nuget-malveillants-imitent-des-bibliotheques-net-chinoises-pour-voler-identifiants-et-cryptomonnaies/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 6 mai 2026 par Socket&rsquo;s Threat Research Team, cet article présente la découverte de cinq packages NuGet malveillants publiés sous le compte <strong>bmrxntfj</strong>, actifs depuis au moins septembre 2025 et ayant accumulé environ <strong>64 784 téléchargements</strong> toutes versions confondues.</p> <h2 id="-packages-malveillants-identifiés">📦 Packages malveillants identifiés</h2> <p>Les cinq packages usurpent des bibliothèques .NET chinoises légitimes :</p> <ul> <li><strong>IR.DantUI</strong> et <strong>IR.OscarUI</strong> : imitent AntdUI (bibliothèque WinForms sur Gitee)</li> <li><strong>IR.Infrastructure.Core</strong>, <strong>IR.Infrastructure.DataService.Core</strong>, <strong>IR.iplus32</strong> : imitent des bibliothèques d&rsquo;entreprise chinoises internes</li> </ul> <p>L&rsquo;opérateur maintient 219 versions masquées (<code>listed: false</code>) sur 224 au total, ne laissant visible qu&rsquo;une seule version à la fois pour éviter la détection. Une <strong>rotation de versions active</strong> invalide les IOCs basés sur les hashes de fichiers.</p>