MalwareSchwachstellenCyberkriminalität

Gefälschtes Sicoob-Paket stiehlt Bankdaten – Warnung vor Supply-Chain-Angriffen in .NET und npm

Von CyberDeutsch Redaktion
Gefälschtes Sicoob-Paket stiehlt Bankdaten – Warnung vor Supply-Chain-Angriffen in .NET und npm
Zusammenfassung

Ein bösartiges NuGet-Paket unter dem Namen „Sicoob.Sdk" hat sich als C#-Bibliothek für das brasilianische Bankensystem Sicoob ausgegeben und dabei sensible Bankdaten von Entwicklern gestohlen. Das Paket, das in den Versionen 2.0.0 bis 2.0.4 verfügbar war, exfiltrierte Kundenkennung, PFX-Zertifikate und Passwörter – Authentifizierungsmittel, die für die Automatisierung von Bankoperationen wie Zahlungsverarbeitung und QR-Code-Generierung notwendig sind. Mit knapp 500 Downloads stellt dieser Fall ein klassisches Beispiel einer Supply-Chain-Attacke dar. Zeitgleich wurden 14 weitere bösartige npm-Pakete entdeckt, die AWS-Credentials, Vault-Tokens und CI/CD-Geheimnisse abzapfen. Deutsche Softwareentwickler und Unternehmen sind indirekt betroffen, da solche Lieferketten-Angriffe über abhängige Pakete verbreitet werden können. Die Attacken zeigen ein besorgniserregendes Muster: Cyberkriminelle nutzen immer raffiniertere Techniken jenseits einfacher Tippfehler, um Pakete legitim wirken zu lassen. Diese Entwicklung unterstreicht die kritische Notwendigkeit, Abhängigkeiten und Paketquellen sorgfältig zu überprüfen sowie Zugangsrechte und Secrets kontinuierlich zu kontrollieren – eine Herausforderung für alle Organisationen, die externe Code-Repositories nutzen.

Manipuliertes Banking-SDK als Trojaner

Die Attacke auf das Sicoob-Ökosystem offenbart eine neue Dimension von Supply-Chain-Bedrohungen. Wenn Entwickler eine Instanz von “SicoobClient” mit Client-ID, PFX-Dateipfad und PFX-Passwort initialisierten, las das manipulierte Paket die PFX-Datei von der Festplatte, encodierte sie in Base64 und sendete alle sensiblen Daten an einen hardcodierten Sentry-Endpunkt – einen Fernmelde-Dienst für Error-Tracking, der hier als Datenkanal missbraucht wurde. Zusätzlich wurde die Boleto-API belauscht, Brasilien’s beliebtes Online-Zahlungssystem. Die exfiltrierten Daten ermöglichen es Angreifern, die Sicoob-API-Integration des Opfers zu imitieren und Transaktionen zu manipulieren oder finanzielle Daten zu missbrauchen.

Gelungene Täuschung durch GitHub-Repository

Besonders perfide: Der ursprüngliche GitHub-Repository wirkt legitim und aufgeräumt, während die Malware erst beim Upload zur NuGet-Registry eingefügt wurde. Google’s AI-Suchfunktion listete das Paket als echte C#-Bibliothek auf – Angreifer nutzten also maschinelle Indexierung zur Amplifikation. Das Profil “sicoob” hat elf weitere verdächtige Pakete veröffentlicht (rund 6.000 Downloads zusammen).

npm-Pakete mit Credential-Harvester

Parallel entdeckte Microsoft einen Credential-Harvester in 14 npm-Paketen, veröffentlicht am 28. Mai 2026 von “vpmdhaj”. Diese Pakete nutzen Dependency-Confusion und Brandjacking – sie ahmen bekannte OpenSearch-, ElasticSearch- und DevOps-Bibliotheken nach, starten via Preinstall-Hook und ernten AWS-Keys, npm-Tokens und CI/CD-Secrets aus der Host-Umgebung.

“Manufactured Legitimacy” statt Typosquatting

Sonatype warnt: Das klassische Typosquatting ist überholt. Moderne Angreifer nutzen Prefix/Suffix-Addition, Scope-Manipulation oder Namenswahl, die in legitimen Workflows routine wirken. Dies ist nicht Täuschung durch Tippfehler, sondern «konstruierte Legitimität» – systematisches Social Engineering gegen Entwickler.

Konsequenzen für deutsche Nutzer

Betrogene Organisationen sollten sofort handeln: Sicoob.Sdk entfernen, PFX-Material als kompromittiert behandeln, Zertifikate ersetzen, Passwörter rotieren und Audit-Logs prüfen. Für deutsche Firmen gilt: Supply-Chain-Attacken fallen unter DSGVO-Meldepflicht (Benachrichtigung innerhalb 72 Stunden), das BSI bietet Koordination an.

Ähnliche Artikel