Se ha identificado un conjunto de nueve paquetes NuGet maliciosos como capaces de divulgar cargas avíos retardadas para boicotear las operaciones de bases de datos y corromper los sistemas de control industrial.
Según la empresa de seguridad de la dependencia de suministro de software Socket, los paquetes fueron publicados en 2023 y 2024 por un sucesor llamado “shanhai666” y están diseñados para ejecutar código taimado a posteriori de fechas de activación específicas en agosto de 2027 y noviembre de 2028. Los paquetes se descargaron colectivamente 9.488 veces.
“El paquete más peligroso, Sharp7Extend, apunta a los PLC industriales con mecanismos de boicot dual: terminación aleatoria inmediata del proceso y fallas de escritura silenciosas que comienzan entre 30 y 90 minutos a posteriori de la instalación, afectando los sistemas críticos para la seguridad en entornos de fabricación”, dijo el investigador de seguridad Kush Pandya.
La nómina de paquetes maliciosos se encuentra a continuación:
- MyDbRepository (Última aggiornamento el 13 de mayo de 2023)
- MCDbRepository (Última aggiornamento el 5 de junio de 2024)
- Sharp7Extend (Última aggiornamento el 14 de agosto de 2024)
- SqlDbRepository (Última aggiornamento el 24 de octubre de 2024)
- SqlRepository (Última aggiornamento el 25 de octubre de 2024)
- SqlUnicornCoreTest (Última aggiornamento el 26 de octubre de 2024)
- SqlUnicornCore (Última aggiornamento el 26 de octubre de 2024)
- SqlUnicorn.Core (Última aggiornamento el 27 de octubre de 2024)
- SqlLiteRepository (Última aggiornamento el 28 de octubre de 2024)
Socket dijo que los nueve paquetes maliciosos funcionan como se anuncia, lo que permite a los actores de amenazas originar confianza entre los desarrolladores posteriores que pueden terminar descargándolos sin darse cuenta de que vienen integrados con una munición deducción en su interior que está programada para detonar en el futuro.
Se ha descubierto que el actor de amenazas publica un total de 12 paquetes, y los tres restantes funcionan según lo previsto sin ninguna funcionalidad maliciosa. Todos ellos han sido eliminados de NuGet. Sharp7Extend, agregó la compañía, está diseñado para usuarios de la biblioteca legítima Sharp7, una implementación .NET para comunicarse con los controladores lógicos programables (PLC) Siemens S7.
Si admisiblemente incluir Sharp7 en el paquete NuGet le da una falsa sensación de seguridad, desmiente el hecho de que la biblioteca inyecta sigilosamente código taimado cuando una aplicación realiza una consulta de saco de datos o una operación de PLC mediante la explotación de métodos de extensión de C#.
“Los métodos de extensión permiten a los desarrolladores pegar nuevos métodos a los tipos existentes sin modificar el código diferente, una poderosa característica de C# que el actor de amenazas utiliza como arsenal para la interceptación”, explicó Pandya. “Cada vez que una aplicación ejecuta una consulta de saco de datos o una operación de PLC, estos métodos de extensión se ejecutan automáticamente, verificando la data contemporáneo con las fechas de activación (codificadas en la mayoría de los paquetes, configuración cifrada en Sharp7Extend)”.
Una vez pasada la data de activación, el malware finaliza todo el proceso de solicitud con un 20% de probabilidad. En el caso de Sharp7Extend, la deducción maliciosa se activa inmediatamente a posteriori de la instalación y continúa hasta el 6 de junio de 2028, cuando el mecanismo de terminación se detiene por sí solo.
El paquete incluso incluye una función para boicotear las operaciones de escritura en el PLC el 80% del tiempo a posteriori de un retraso fortuito de entre 30 y 90 minutos. Esto incluso significa que los dos desencadenantes (las terminaciones aleatorias del proceso y los errores de escritura) están operativos en conjunto una vez transcurrido el período de clemencia.
Por otro flanco, ciertas implementaciones de SQL Server, PostgreSQL y SQLite asociadas con otros paquetes están configuradas para activarse el 8 de agosto de 2027 (MCDbRepository) y el 29 de noviembre de 2028 (SqlUnicornCoreTest y SqlUnicornCore).
“Este enfoque escalonado le da al actor de la amenaza una ventana más larga para cosechar víctimas ayer de que se active el malware de activación retardada, al mismo tiempo que interrumpe inmediatamente los sistemas de control industrial”, dijo Pandya.
Actualmente no se sabe quién está detrás del ataque a la dependencia de suministro, pero Socket dijo que el descomposición del código fuente y la disyuntiva del nombre “shanhai666” sugieren que puede ser obra de un actor de amenazas, posiblemente de origen chino.
“Esta campaña demuestra técnicas sofisticadas que rara vez se combinan en ataques a la dependencia de suministro de NuGet”, concluyó la empresa. “Los desarrolladores que instalaron paquetes en 2024 se habrán trasladado a otros proyectos o empresas entre 2027 y 2028, cuando se active el malware de la saco de datos y la ejecución probabilística del 20 % disfraze los ataques sistemáticos como fallos aleatorios o fallos de hardware”.
“Esto hace que la respuesta a incidentes y la investigación forense sean casi imposibles, las organizaciones no pueden rastrear el malware hasta su punto de preparación, identificar quién instaló la dependencia comprometida o establecer un cronograma claro del compromiso, borrando efectivamente el huella documental del ataque”.
