El repositorio oficial de paquetes para .NET, NuGet.org, ha sido escenario de un nuevo ataque de suplantación. Investigadores han descubierto un paquete malicioso que se hace pasar por la legítima y popular librería Tracer.Fody.
Tracer.Fody es una herramienta estándar en la industria utilizada por miles de desarrolladores para inyectar código de rastreo (logs) automáticamente en sus aplicaciones .NET. Aprovechando esta confianza, los atacantes subieron un paquete impostor diseñado para engañar a los desarrolladores que buscan la herramienta original.
¿Cómo funciona la trampa?
El paquete falso copia casi a la perfección los metadatos, la descripción y el nombre del original. Cuando un desarrollador desprevenido añade este paquete a su proyecto en Visual Studio y compila la solución, se desencadena la infección.
- El Payload: El código malicioso oculto dentro del paquete se ejecuta durante el proceso de construcción (build).
- El Objetivo: Descarga un script secundario o un ejecutable diseñado para robar información sensible del entorno del desarrollador, como credenciales de la nube (AWS/Azure), tokens de acceso y código fuente.
El peligro de la ejecución en el “Build”
Lo que hace peligrosos a los paquetes NuGet (y NPM o PyPI) es que pueden ejecutar scripts en el momento en que se instalan o se compilan (init.ps1 o install.ps1), antes de que siquiera ejecutes tu aplicación. Esto significa que tu máquina se infecta simplemente por intentar compilar el código. Los atacantes saben que las máquinas de los desarrolladores son “las joyas de la corona” porque tienen acceso a servidores de producción y repositorios privados.
“Typosquatting” y “Brandjacking”
Este ataque utiliza la técnica de hacerse pasar por una marca conocida (Brandjacking). El desarrollador escribe “Tracer.Fody” en el buscador, ve un resultado con el logo correcto y hace clic en “Instalar” sin verificar quién es el autor. El paquete legítimo de Tracer.Fody tiene millones de descargas. El falso probablemente tenía pocas o una fecha de publicación muy reciente (diciembre 2025), que son las señales de alerta que solemos ignorar por las prisas.
¿Cómo verificar tus paquetes?
- Revisa el Autor: Asegúrate de que el paquete esté firmado por el autor original (en este caso, los mantenedores de Fody).
- Mira las descargas: Si una librería famosa dice tener solo 500 descargas, es falsa.
- Usa NuGet.config: Restringe las fuentes de paquetes y considera usar escáneres de vulnerabilidades en tu pipeline CI/CD.
