Um conjunto de nove pacotes maliciosos para NuGet foi identificado com capacidade de liberar payloads após um período de latência, visando sabotar operações de banco de dados e corromper sistemas de controle industrial.
De acordo com a empresa especializada em segurança da cadeia de fornecimento de software Socket, os pacotes foram publicados em 2023 e 2024 pelo usuário “shanhai666”.
Eles foram programados para executar código malicioso após datas específicas em agosto de 2027 e novembro de 2028.
No total, os pacotes foram baixados 9.488 vezes.
“O pacote mais perigoso, Sharp7Extend, tem como alvo PLCs industriais e emprega um duplo mecanismo de sabotagem: terminação aleatória e imediata de processos e falhas silenciosas em operações de escrita, que começam de 30 a 90 minutos após a instalação.
Essa ação compromete sistemas críticos de segurança em ambientes de manufatura”, explicou o pesquisador de segurança Kush Pandya.
A lista completa dos pacotes maliciosos é a seguinte:
- MyDbRepository (última atualização em 13 de maio de 2023)
- MCDbRepository (última atualização em 5 de junho de 2024)
- Sharp7Extend (última atualização em 14 de agosto de 2024)
- SqlDbRepository (última atualização em 24 de outubro de 2024)
- SqlRepository (última atualização em 25 de outubro de 2024)
- SqlUnicornCoreTest (última atualização em 26 de outubro de 2024)
- SqlUnicornCore (última atualização em 26 de outubro de 2024)
- SqlUnicorn.Core (última atualização em 27 de outubro de 2024)
- SqlLiteRepository (última atualização em 28 de outubro de 2024)
Segundo a Socket, todos os nove pacotes funcionam conforme o esperado, o que cria uma falsa sensação de segurança entre os desenvolvedores que os baixam, sem perceberem a lógica maliciosa oculta, ativada em datas futuras.
O autor da ameaça chegou a publicar 12 pacotes no total, sendo que os três restantes operavam normalmente, sem funcionalidades maliciosas.
Todos os pacotes já foram removidos do NuGet.
A Socket destaca que o Sharp7Extend foi criado para usuários da biblioteca legítima Sharp7, uma implementação .NET para comunicação com PLCs Siemens S7.
A incorporação da biblioteca Sharp7 ao pacote cria a falsa impressão de segurança, enquanto o código malicioso é silenciosamente injetado sempre que uma aplicação realiza uma consulta ao banco de dados ou uma operação em PLC, explorando extension methods em C#.
“Os extension methods permitem que desenvolvedores adicionem novos métodos a tipos existentes sem modificar o código original — um recurso poderoso do C# que o agente malicioso utilizou para interceptar operações”, detalhou Pandya.
“Cada vez que a aplicação executa uma operação no banco de dados ou no PLC, esses métodos de extensão verificam a data atual em relação às datas de ativação, que estão codificadas na maioria dos pacotes ou criptografadas no Sharp7Extend.”
Quando a data de ativação é atingida, o malware tem 20% de chance de encerrar o processo da aplicação.
No Sharp7Extend, essa lógica maliciosa é ativada imediatamente após a instalação e permanece ativa até 6 de junho de 2028, quando o mecanismo de término automático é desativado.
Além disso, esse pacote possui uma funcionalidade que sabota operações de gravação no PLC em 80% das tentativas, com atraso aleatório entre 30 e 90 minutos.
Assim, ambos os gatilhos — terminação aleatória do processo e falha na gravação — atuam simultaneamente após o período inicial.
Outras implementações associadas a pacotes diferentes, como os relacionados ao SQL Server, PostgreSQL e SQLite, estão programadas para disparar em 8 de agosto de 2027 (MCDbRepository) e 29 de novembro de 2028 (SqlUnicornCoreTest e SqlUnicornCore).
“Essa abordagem escalonada permite ao agente malicioso ampliar o tempo para acumular vítimas antes da ativação do malware com atraso, ao mesmo tempo que causa interrupção imediata em sistemas de controle industrial”, apontou Pandya.
Até o momento, a identidade do responsável pelo ataque à cadeia de fornecimento não foi revelada, mas a análise do código-fonte e a escolha do nome “shanhai666” indicam a possibilidade de origem chinesa do grupo.
“Essa campanha demonstra técnicas sofisticadas raramente combinadas em ataques à cadeia de suprimentos do NuGet”, concluiu a empresa.
“Desenvolvedores que instalaram esses pacotes em 2024 provavelmente terão migrado para outros projetos ou empresas até 2027-2028, quando o malware de banco de dados será ativado — e a execução probabilística de 20% mascara ataques sistemáticos como falhas aleatórias ou problemas de hardware.”
“Isso dificulta consideravelmente a resposta a incidentes e as investigações forenses.
As organizações não conseguem rastrear o ponto de infiltração do malware, identificar quem instalou a dependência comprometida ou estabelecer uma linha do tempo clara da invasão, eliminando completamente os vestígios do ataque.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...