Pacote NuGet falso rouba senhas bancarias do Sicoob

Pacote NuGet falso imita SDK do Sicoob

Pesquisadores da Socket descobriram um pacote malicioso no NuGet, repositório oficial de pacotes .NET, disfarçado como o SDK oficial do Sicoob, uma das maiores cooperativas financeiras do Brasil. O pacote, publicado sob o nome “Sicoob.Sdk”, foi projetado para exfiltrar credenciais bancárias de desenvolvedores que o instalassem inadvertidamente em seus projetos. O ataque representa uma evolução perigosa nas campanhas de supply chain contra o sistema financeiro brasileiro.

Estratégia de engenharia social

O pacote malicioso copiava fielmente a estrutura, nome e descrição do SDK legítimo que desenvolvedores utilizam para integrar aplicações com as APIs do Sicoob. Após a instalação via NuGet, o código malicioso entrava em ação em segundo plano: identificava e capturava credenciais bancárias, tokens de autenticação e chaves de API armazenados nos projetos ou variáveis de ambiente do desenvolvedor.

Os dados coletados eram enviados silenciosamente para um servidor controlado pelos atacantes. Como o pacote funcionava como uma dependência aparentemente legítima, desenvolvedores podiam passar semanas ou meses com o código malicioso integrado ao seu fluxo de trabalho sem perceber qualquer anomalia.

Indicadores de comprometimento (IOCs):

1. Nome do pacote: “Sicoob.Sdk” no repositório NuGet
2. Comportamento: coleta de credenciais em variáveis de ambiente e arquivos de configuração
3. Exfiltração silenciosa para servidor externo via HTTPS
4. Nenhum erro ou mensagem visível ao desenvolvedor durante a execução

Risco para o ecossistema fintech brasileiro

O Brasil possui um dos ecossistemas fintech mais dinâmicos do mundo, e o Open Banking acelerou a criação de integrações com instituições como o Sicoob. Desenvolvedores que constroem essas integrações buscam frequentemente SDKs oficiais no NuGet e em outros repositórios. O ataque explora exatamente esse fluxo de trabalho, transformando a cadeia de suprimentos de software em vetor de comprometimento.

O caso levanta questões relevantes sob a LGPD: se um desenvolvedor comprometido trabalhava com dados de clientes, o vazamento de credenciais pode constituir incidente de segurança notificável. A ANPD exige que incidentes com risco aos titulares sejam reportados em até 72 horas.

Como proteger seu pipeline de CI/CD

• Verifique o namespace do pacote NuGet — confirme que vem de uma conta oficial do Sicoob, não de um publicador desconhecido
• Use ferramentas de análise como Socket ou Snyk para escanear dependências antes de instalá-las
• Implemente lockfiles (packages.lock.json) e CI com verificação de integridade de pacotes
• Revogue imediatamente credenciais de API do Sicoob se o pacote suspeito foi instalado

Fontes e referências

• GBHackers — Malicious NuGet Package Exfiltrates Banking Passwords
• Socket Research — Blog