Ethereum .NET entegrasyon kütüphanesi Nethereum adına çok benzeyen ancak son ‘e’ harfi Kiril homoglif ‘е’ (U+0435) ile değiştirilmiş Netherеum.All adlı sahte bir NuGet paketi, kripto para cüzdanlarının mnemonic ifadeleri, özel anahtarları ve keystore dosyalarını ele geçirmek için kullanıldı. Socket güvenlik araştırma şirketinin raporuna göre, bu paket içerisinde XOR ile şifrelenmiş zararlı kod barındıran EIP70221TransactionService.Shuffle fonksiyonu, C2 sunucusu olarak solananetworkinstance[.]info/api/gads adresini çözerek hassas verileri dışarı aktarıyor.
Homoglif Hilesi ve İndirme Sayılarının Manipülasyonu
NuGet deposunda 16 Ekim 2025’te nethereumgroup adlı kullanıcı tarafından yüklenen paket, dört gün içinde NuGet güvenlik ekibi tarafından kaldırıldı. Ancak tehdit aktörleri, yapay indirme sayıları oluşturarak paketin 11,7 milyon kez indirildiğini iddia etti. Güvenlik araştırmacısı Kirill Boychenko, bu tür sahte popülaritenin, IP adresleri ve kullanıcı ajanlarının değiştirilerek paralel isteklerle hacmin artırılması ve istemci önbelleklerinin atlanmasıyla sağlandığını belirtti. Böylece paket, arama sonuçlarında üst sıralara çıkarak geliştiricilere yanlış bir güven hissi veriyor.
Teknik Derinlik ve Benzer Tehditler
Bu saldırı, MCP istemcileri veya AsyncRAT gibi uzaktan erişim araçlarının kullandığı tekniklerle benzerlik gösteriyor; örneğin, zararlı kodun XOR ile şifrelenmesi ve C2 iletişimi, Pydantic AI gibi modern yapılandırma doğrulama kütüphanelerinin güvenlik açıklarını hedef alan saldırılarla paralellik taşıyor. Ayrıca, konteyner tabanlı dağıtımlarda rastgele SSH portlarının kullanılması gibi yöntemlerle saldırganlar tespit edilmekten kaçınıyor. NuGet’in ASCII kısıtlaması getirmemesi, homoglif karakterlerin kötüye kullanımına zemin hazırlıyor ve bu durum PyPI, npm veya Maven Central gibi diğer paket depolarına kıyasla daha yüksek risk oluşturuyor.
Önlemler ve Güvenlik Tavsiyeleri
Kullanıcıların, NuGet paketlerini indirirken yayıncı kimliklerini doğrulamaları, ani indirme artışlarını izlemeleri ve anormal ağ trafiği analizleri yapmaları kritik önem taşıyor. Ayrıca, paketlerin hash değerlerinin ve dijital imzalarının kontrol edilmesi, MCP istemcilerinde olduğu gibi güvenlik katmanlarını artırabilir. Bu tür saldırılar, sadece NuGet değil, tüm açık kaynak paket ekosistemlerinde homoglif ve benzeri sosyal mühendislik tekniklerine karşı dikkatli olunması gerektiğini gösteriyor.