Os sinalizadores de socket para pacotes NuGet maliciosos estão programados para serem ativados em 2027 e 2028.

Há dois anos, uma conta com o nome “shanhai666” carregou nove pacotes NuGet maliciosos. Isso desencadeou um ataque complexo à cadeia de suprimentos de software.

Segundo a empresa de segurança da cadeia de suprimentos Socket, os pacotes foram baixados um total de 9.488 vezes. Além disso, gatilhos específicos estão definidos para agosto de 2027 e novembro de 2028.

Kush Pandya, membro da equipe da Socket, descobriu o agente malicioso por trás da campanha que publicou um total de 12 pacotes. Nove desses pacotes contêm rotinas maliciosas, enquanto três são implementações totalmente funcionais que disfarçam os demais como "confiáveis". 

Pandya acredita que o hacker usou bibliotecas legítimas juntamente com as maliciosas para enganar os desenvolvedores e levá-los a instalar os pacotes sem detectar anomalias durante os testes de rotina.

“A funcionalidade legítima mascara a carga maliciosa de aproximadamente 20 linhas, oculta em milhares de linhas de código legítimo, e atrasa a descoberta, uma vez que, mesmo após a ativação, as falhas aparecem como bugs aleatórios em vez de ataquesmatic ”, escreveu ele em um relatório de 6 de novembro.

9 ameaças ocultas do NuGet em código legítimo

Os nove pacotes maliciosos identificados podem afetar os três principais provedores de banco de dados usados em aplicativos .NET: Microsoft SQL Server, PostgreSQL e SQLite. Um dos pacotes, Sharp7Extend, tem como alvo específico os PLCs industriais usados na fabricação e automação de processos dent

A pesquisa da Socket propôs que o banco de dados poderia ser vulnerável a um ataque de cadeia de suprimentos de dupla finalidade, ameaçando o desenvolvimento de software e as operações de infraestrutura crítica.

Pandya classificou o pacote Sharp7Extend como o mais perigoso dos pacotes maliciosos , sendo uma falsificação de nome (typosquat) da implementação legítima da biblioteca Sharp7 em .NET para comunicação com controladores lógicos programáveis Siemens S7.

Adicionar "Extend" ao nome confiável pode ajudar o pacote malicioso "aciddentally" a instalar código por meio de engenheiros de automação que buscam melhorias para o Sharp7. O pacote inclui a biblioteca Sharp7 completa e não modificada, juntamente com sua carga maliciosa. A comunicação padrão do PLC pode parecer funcionar como esperado durante os testes, mas o malware embutido está mascarado. 

"O Sharp7Extend tem como alvo PLCs industriais com mecanismos duplos de sabotagem: encerramento aleatório imediato do processo e falhas silenciosas de gravação que começam de 30 a 90 minutos após a instalação", disse o pesquisador de segurança.

Os pacotes maliciosos usam métodos de extensão C# para adicionar código perigoso a operações de banco de dados e PLC sem alterar o código original. Para pacotes de banco de dados, um método .Exec() é adicionado aos tipos de comando, enquanto o Sharp7Extend adiciona um método .BeginTran() aos objetos S7Client. 

As extensões são executadasmaticsempre que um aplicativo realiza uma ação ou consulta em um PLC. Após a data de ativação, o malware gera um número aleatório entre 1 e 100.

Se o número exceder 80, o que tem 20% de probabilidade de acontecer, o pacote encerra imediatamente o processo em execução usando Process.GetCurrentProcess().Kill(). O encerramento abrupto ocorre sem avisos ou entradas de log que possam ser confundidas com instabilidade de rede, falhas de hardware ou outros erros de sistema "não alarmantes".

O Sharp7Extend também implementa a corrupção de escrita retardada por meio de um temporizador que define um período de tolerância de 30 a 90 minutos. Após o período de tolerância, um método de filtro chamado ResFliter.fliter() começa a falhar silenciosamente as operações de escrita em 80% dos casos. 

Os métodos afetados incluem WriteDBSingleByte, WriteDBSingleInt e WriteDBSingleDInt. As operações parecem ser bem-sucedidas, embora os dados não sejam efetivamente gravados no CLP.

Temporizador configurado para o período de agosto de 2027 a novembro de 2028.

O relatório da Socket Security afirmou que certos pacotes focados em bancos de dados, no encruzilhada da campanha, incluindo o MCDbRepository, estão programados para executar sua carga útil em 8 de agosto de 2027. O SqlUnicornCore e o SqlUnicornCoreTest provavelmente entrarão em ação em 29 de novembro de 2028.

“Essa abordagem escalonada oferece ao agente da ameaça uma janela maior para coletar vítimas antes que o malware de ativação retardada seja acionado, enquanto interrompe imediatamente os sistemas de controle industrial”, explicou Pandya.

A investigação da Socket descobriu que o nome “shanhai666” e partes do código-fonte são de origem chinesa.

Em setembro, analistas de cibersegurança descobriram um código em servidores do Microsoft Internet Information Services (IIS) que explorava vulnerabilidades desde 2003. A operação envolve módulos maliciosos do IIS usados para execução remota de comandos e fraude em otimização de mecanismos de busca (SEO).

Ganhe US$ 50 grátis para negociar criptomoedas ao se inscrever no Bybit agora