Se identificó un conjunto de nueve paquetes NuGet maliciosos que pueden alterar los sistemas de control industrial al eliminar cargas útiles retardadas e interferir con las operaciones de la base de datos.
Según la empresa de seguridad de la cadena de suministro de software Socket, los paquetes fueron publicados por un usuario llamado «shanhai666» en 2023 y 2024 y están diseñados para ejecutar código malicioso después de fechas de activación específicas en agosto de 2027 y noviembre de 2028. El paquete se descargó un total de 9.488 veces.
El investigador de seguridad Kush Pandya dijo: «El paquete más peligroso, Sharp7Extend, apunta a los PLC industriales con un mecanismo de interferencia dual de terminación aleatoria inmediata del proceso y fallas de escritura silenciosas que comienzan entre 30 y 90 minutos después de la instalación, lo que afecta los sistemas críticos para la seguridad en entornos de fabricación».
La lista de paquetes maliciosos se encuentra a continuación:
MyDbRepository (última actualización el 13 de mayo de 2023) MCDbRepository (última actualización el 5 de junio de 2024) Sharp7Extend (última actualización el 14 de agosto de 2024) SqlDbRepository (última actualización el 24 de octubre de 2024) SqlRepository (última actualización el 14 de agosto de 2024) 25 días) SqlUnicornCoreTest (última actualización el 24 de octubre de 2024) 26 de octubre de 2024) SqlUnicornCore (última actualización el 26 de octubre de 2024) SqlUnicorn.Core (última actualización el 27 de octubre de 2024) SqlLiteRepository (última actualización el 2024) 28 de octubre)
Socket dijo que debido a que los nueve paquetes maliciosos funcionaban como se anunciaba, los atacantes podían generar confianza entre los desarrolladores posteriores, quienes podían descargar los paquetes sin darse cuenta de que contenían bombas lógicas que debían estallar en el futuro.
El atacante publicó un total de 12 paquetes, de los cuales se descubrió que los tres restantes funcionaban según lo previsto sin ninguna funcionalidad maliciosa. Todos ellos han sido eliminados de NuGet. Sharp7Extend está diseñado para usuarios de la biblioteca Sharp7 genuina, una implementación .NET para comunicarse con el controlador lógico programable (PLC) Siemens S7, agregó la compañía.
Incluir Sharp7 en un paquete NuGet proporciona una falsa sensación de seguridad, pero el hecho de que la biblioteca inyecte subrepticiamente código malicioso cuando una aplicación abusa de los métodos de extensión de C# para realizar consultas a bases de datos u operaciones de PLC es falso.
«Los métodos de extensión permiten a los desarrolladores agregar nuevos métodos a los tipos existentes sin cambiar el código original. Esta es una poderosa característica de C# que los actores de amenazas utilizan como arma para la interceptación», explicó Pandya. «Cada vez que su aplicación realiza una consulta de base de datos o una operación de PLC, estos métodos de extensión se ejecutan automáticamente y verifican la fecha actual y la fecha de activación (codificadas en la mayoría de los paquetes y configuración cifrada en Sharp7Extend)».
Después de la fecha de activación, el malware tiene un 20% de posibilidades de finalizar todo el proceso de solicitud. En el caso de Sharp7Extend, la lógica maliciosa se activa inmediatamente después de la instalación y persiste hasta el 6 de junio de 2028, cuando el mecanismo de terminación se detiene automáticamente.
Este paquete también incluye una función que evita operaciones de escritura en el PLC con una probabilidad del 80 % después de un retraso aleatorio de 30 a 90 minutos. Esto también significa que una vez que expire el período de gracia, tanto la terminación aleatoria del proceso como los activadores de falla de escritura funcionarán al mismo tiempo.
Mientras tanto, ciertas implementaciones de SQL Server, PostgreSQL y SQLite asociadas con otros paquetes se activarán el 8 de agosto de 2027 (MCDbRepository) y el 29 de noviembre de 2028 (SqlUnicornCoreTest y SqlUnicornCore).
«Este enfoque escalonado les da a los atacantes más tiempo para reclutar víctimas antes de que se active el malware de aparición retardada, al mismo tiempo que interrumpe instantáneamente los sistemas de control industrial», dijo Pandya.
Actualmente no está claro quién está detrás del ataque a la cadena de suministro, pero Socket dijo que el análisis del código fuente y la elección del nombre shanhai666 sugieren que es obra de un actor de amenazas, probablemente originario de China.
«Esta campaña demuestra técnicas sofisticadas que rara vez se combinan en ataques a la cadena de suministro de NuGet», concluyó la empresa. «Los desarrolladores que instalaron el paquete en 2024 habrán pasado a otros proyectos o empresas entre 2027 y 2028, cuando se active el malware de la base de datos. Tiene un 20% de posibilidades de ejecutarse y un ataque coordinado se disfraza de un fallo aleatorio o un fallo de hardware».
«Esto hace que la respuesta a incidentes y las investigaciones forenses sean casi imposibles, lo que deja a las organizaciones incapaces de rastrear el malware hasta el punto de introducción, determinar quién instaló las dependencias comprometidas o establecer un cronograma claro de compromiso, borrando efectivamente cualquier rastro documental de un ataque».
Source link
