Se ha identificado un conjunto de nueve paquetes NuGet maliciosos como capaces de exhalar cargas efectos retardadas para boicotear las operaciones de bases de datos y corromper los sistemas de control industrial.
Según la empresa de seguridad de la cautiverio de suministro de software Socket, los paquetes fueron publicados en 2023 y 2024 por un adjudicatario llamado «shanhai666» y están diseñados para ejecutar código sagaz posteriormente de fechas de activación específicas en agosto de 2027 y noviembre de 2028. Los paquetes se descargaron colectivamente 9.488 veces.
«El paquete más peligroso, Sharp7Extend, apunta a los PLC industriales con mecanismos de boicot dual: terminación aleatoria inmediata del proceso y fallas de escritura silenciosas que comienzan entre 30 y 90 minutos posteriormente de la instalación, afectando los sistemas críticos para la seguridad en entornos de fabricación», dijo el investigador de seguridad Kush Pandya.
La letanía de paquetes maliciosos se encuentra a continuación:
- MyDbRepository (Última aggiornamento el 13 de mayo de 2023)
- MCDbRepository (Última aggiornamento el 5 de junio de 2024)
- Sharp7Extend (Última aggiornamento el 14 de agosto de 2024)
- SqlDbRepository (Última aggiornamento el 24 de octubre de 2024)
- SqlRepository (Última aggiornamento el 25 de octubre de 2024)
- SqlUnicornCoreTest (Última aggiornamento el 26 de octubre de 2024)
- SqlUnicornCore (Última aggiornamento el 26 de octubre de 2024)
- SqlUnicorn.Core (Última aggiornamento el 27 de octubre de 2024)
- SqlLiteRepository (Última aggiornamento el 28 de octubre de 2024)
Socket dijo que los nueve paquetes maliciosos funcionan como se anuncia, lo que permite a los actores de amenazas difundir confianza entre los desarrolladores posteriores que pueden terminar descargándolos sin darse cuenta de que vienen integrados con una granada razonamiento en su interior que está programada para detonar en el futuro.
Se ha descubierto que el actor de amenazas publica un total de 12 paquetes, y los tres restantes funcionan según lo previsto sin ninguna funcionalidad maliciosa. Todos ellos han sido eliminados de NuGet. Sharp7Extend, agregó la compañía, está diseñado para usuarios de la biblioteca legítima Sharp7, una implementación .NET para comunicarse con los controladores lógicos programables (PLC) Siemens S7.
Si acertadamente incluir Sharp7 en el paquete NuGet le da una falsa sensación de seguridad, desmiente el hecho de que la biblioteca inyecta sigilosamente código sagaz cuando una aplicación realiza una consulta de colchoneta de datos o una operación de PLC mediante la explotación de métodos de extensión de C#.
«Los métodos de extensión permiten a los desarrolladores anexar nuevos métodos a los tipos existentes sin modificar el código llamativo, una poderosa característica de C# que el actor de amenazas utiliza como armas para la interceptación», explicó Pandya. «Cada vez que una aplicación ejecuta una consulta de colchoneta de datos o una operación de PLC, estos métodos de extensión se ejecutan automáticamente, verificando la plazo flagrante con las fechas de activación (codificadas en la mayoría de los paquetes, configuración cifrada en Sharp7Extend)».
Una vez pasada la plazo de activación, el malware finaliza todo el proceso de solicitud con un 20% de probabilidad. En el caso de Sharp7Extend, la razonamiento maliciosa se activa inmediatamente posteriormente de la instalación y continúa hasta el 6 de junio de 2028, cuando el mecanismo de terminación se detiene por sí solo.
El paquete igualmente incluye una función para boicotear las operaciones de escritura en el PLC el 80% del tiempo posteriormente de un retraso casual de entre 30 y 90 minutos. Esto igualmente significa que entreambos desencadenantes (las terminaciones aleatorias del proceso y los errores de escritura) están operativos en conjunto una vez transcurrido el período de salero.
Por otro costado, ciertas implementaciones de SQL Server, PostgreSQL y SQLite asociadas con otros paquetes están configuradas para activarse el 8 de agosto de 2027 (MCDbRepository) y el 29 de noviembre de 2028 (SqlUnicornCoreTest y SqlUnicornCore).
«Este enfoque escalonado le da al actor de la amenaza una ventana más larga para cosechar víctimas ayer de que se active el malware de activación retardada, al mismo tiempo que interrumpe inmediatamente los sistemas de control industrial», dijo Pandya.
Actualmente no se sabe quién está detrás del ataque a la cautiverio de suministro, pero Socket dijo que el observación del código fuente y la opción del nombre «shanhai666» sugieren que puede ser obra de un actor de amenazas, posiblemente de origen chino.
«Esta campaña demuestra técnicas sofisticadas que rara vez se combinan en ataques a la cautiverio de suministro de NuGet», concluyó la empresa. «Los desarrolladores que instalaron paquetes en 2024 se habrán trasladado a otros proyectos o empresas entre 2027 y 2028, cuando se active el malware de la colchoneta de datos y la ejecución probabilística del 20 % disfraze los ataques sistemáticos como fallos aleatorios o fallos de hardware».
«Esto hace que la respuesta a incidentes y la investigación forense sean casi imposibles, las organizaciones no pueden rastrear el malware hasta su punto de presentación, identificar quién instaló la dependencia comprometida o establecer un cronograma claro del compromiso, borrando efectivamente el rastrillo documental del ataque».
