Se ha identificado un conjunto de nueve paquetes NuGet maliciosos capaces de lanzar cargas útiles retrasadas para sabotear las operaciones de las bases de datos y corromper los sistemas de control industrial.
Según la empresa de seguridad de la cadena de suministro de software Socket, los paquetes fueron publicados en 2023 y 2024 por un usuario llamado» shanhai666 «y están diseñados para ejecutar código malicioso después de fechas de activación específicas, en agosto de 2027 y noviembre de 2028. Los paquetes se descargaron colectivamente 9.488 veces.
«El paquete más peligroso, Sharp7Extend, apunta a los PLC industriales con un doble mecanismo de sabotaje: la terminación aleatoria inmediata del proceso y las fallas de escritura silenciosa que comienzan entre 30 y 90 minutos después de la instalación y afectan a los sistemas críticos para la seguridad en los entornos de fabricación», dijo el investigador de seguridad Kush Pandya dijo .
La lista de paquetes maliciosos está a continuación -
- MyDBRepository (Última actualización el 13 de mayo de 2023)
- MCDB Repository (última actualización el 5 de junio de 2024)
- Sharp7Extend (Última actualización el 14 de agosto de 2024)
- SQLdbRepository (Última actualización el 24 de octubre de 2024)
- SQLRepository (última actualización el 25 de octubre de 2024)
- SQLUnicornCoreTest (Última actualización el 26 de octubre de 2024)
- SQLUnicornCore (Última actualización el 26 de octubre de 2024)
- SQLUnicorn.Core (Última actualización el 27 de octubre de 2024)
- SQLLiteRepository (Última actualización el 28 de octubre de 2024)
Socket dijo que los nueve paquetes fraudulentos funcionan como se anuncia, lo que permite a los actores de amenazas generar confianza entre los desarrolladores intermedios, quienes pueden terminar descargándolos sin darse cuenta de que vienen con un bomba lógica interior que está programado para detonar en el futuro.
Se ha descubierto que el actor de amenazas publica un total de 12 paquetes, y los tres restantes funcionan según lo previsto sin ninguna funcionalidad maliciosa. Todos ellos se han eliminado de NuGet. Sharp7Extend, agregó la compañía, está diseñado para dirigirse a los usuarios de la biblioteca Sharp7 legítima, una implementación de.NET para comunicarse con los controladores lógicos programables (PLC) del Siemens S7.
Si bien incluir Sharp7 en el paquete NuGet le da una falsa sensación de seguridad, desmiente el hecho de que la biblioteca inyecta sigilosamente código malicioso cuando una aplicación realiza una consulta a la base de datos o una operación de PLC mediante la explotación de los métodos de extensión de C#.
«Los métodos de extensión permiten a los desarrolladores añadir nuevos métodos a los tipos existentes sin modificar el código original, una potente función de C# que el actor de amenazas utiliza como arma para interceptarla», explica Pandya. «Cada vez que una aplicación ejecuta una consulta a una base de datos o una operación de PLC, estos métodos de extensión se ejecutan automáticamente y comprueban la fecha actual con las fechas de activación (codificadas de forma rígida en la mayoría de los paquetes, configuración cifrada en Sharp7Extend)».
Una vez pasada la fecha de activación, el malware finaliza todo el proceso de solicitud con una probabilidad del 20%. En el caso de Sharp7Extend, la lógica maliciosa se activa inmediatamente después de la instalación y continúa hasta el 6 de junio de 2028, cuando el mecanismo de finalización se detiene por sí solo.
El paquete también incluye una función para sabotear las operaciones de escritura en el PLC el 80% del tiempo después de un retraso aleatorio de entre 30 y 90 minutos. Esto también significa que ambos factores desencadenantes (las terminaciones aleatorias de los procesos y los errores de escritura) funcionan en conjunto una vez transcurrido el período de gracia.
Algunas implementaciones de SQL Server, PostgreSQL y SQLite asociadas a otros paquetes, por otro lado, se activarán el 8 de agosto de 2027 (MCDBRepository) y el 29 de noviembre de 2028 (SQLUnicornCoreTest y SQLUnicornCore).
«Este enfoque escalonado brinda al actor de amenazas un plazo más largo para recopilar a las víctimas antes de que se active el malware de activación retrasada, al tiempo que interrumpe inmediatamente los sistemas de control industrial», afirma Pandya.
Actualmente no se sabe quién está detrás del ataque a la cadena de suministro, pero Socket dijo que el análisis del código fuente y la elección del nombre «shanhai666» sugieren que puede ser obra de un actor de amenazas, posiblemente de origen chino.
«Esta campaña demuestra técnicas sofisticadas que rara vez se combinan en los ataques a la cadena de suministro de NuGet», concluyó la empresa. «Los desarrolladores que instalaron paquetes en 2024 se habrán mudado a otros proyectos o empresas entre 2027 y 2028, cuando se active el malware de la base de datos, y la ejecución con un 20% de probabilidad de ejecución encubre los ataques sistemáticos en bloqueos aleatorios o fallos de hardware».
«Esto hace que la respuesta a los incidentes y la investigación forense sean casi imposibles, ya que las organizaciones no pueden rastrear el malware hasta su punto de introducción, identificar quién instaló la dependencia comprometida ni establecer un cronograma claro de compromiso, lo que borraría de manera efectiva el registro documental del ataque».