NuGet平臺(tái)出現(xiàn)多款惡意軟件包，內(nèi)含定于2027年至2028年激活的破壞載荷，攻擊目標(biāo)直指數(shù)據(jù)庫(kù)部署環(huán)境與西門子S7工業(yè)控制設(shè)備。這些嵌入的惡意代碼采用概率觸發(fā)機(jī)制，是否激活取決于受感染設(shè)備上的一系列參數(shù)配置。

NuGet是開源包管理器及軟件分發(fā)系統(tǒng)，開發(fā)者可通過它下載現(xiàn)成的.NET類庫(kù)并集成到自身項(xiàng)目中。

Socket的研究人員在NuGet上發(fā)現(xiàn)9款惡意包，均以“shanhai666”為開發(fā)者名稱發(fā)布，這些包表面具備合法功能，實(shí)則隱藏有害代碼。

這些惡意包“有針對(duì)性地瞄準(zhǔn).NET應(yīng)用中常用的三大數(shù)據(jù)庫(kù)提供商（SQL Server、PostgreSQL、SQLite）”。其中最危險(xiǎn)的是Sharp7Extend包——該包偽裝成用于與西門子可編程邏輯控制器（PLC）進(jìn)行以太網(wǎng)通信的合法Sharp7類庫(kù)，專門針對(duì)其用戶發(fā)起攻擊。

Socket研究人員表示：“攻擊者在可信的Sharp7名稱后添加‘Extend’后綴，誘導(dǎo)那些搜索Sharp7擴(kuò)展或增強(qiáng)功能的開發(fā)者下載。”

NuGet平臺(tái)上“shanhai666”賬號(hào)共列出12款包，其中9款包含惡意代碼，具體如下：

1. SqlUnicorn.Core

2. SqlDbRepository

3. SqlLiteRepository

4. SqlUnicornCoreTest

5. SqlUnicornCore

6. SqlRepository

7. MyDbRepository

8. MCDbRepository

9. Sharp7Extend

目前，該開發(fā)者賬號(hào)下已無相關(guān)包列出，但需注意的是，這些包下架時(shí)下載量已接近9500次。

暗藏“定時(shí)炸彈”

Socket研究人員指出，這些惡意包中99%為合法代碼，營(yíng)造安全可信的假象，僅嵌入20行左右的惡意載荷。

Socket在本周發(fā)布的報(bào)告中解釋：“該惡意軟件利用C，將惡意邏輯隱秘注入每一次數(shù)據(jù)庫(kù)操作和PLC操作中?！?/p>

每當(dāng)應(yīng)用程序執(zhí)行數(shù)據(jù)庫(kù)查詢或PLC操作時(shí)，這些擴(kuò)展方法都會(huì)被觸發(fā)。同時(shí)，代碼會(huì)將受感染系統(tǒng)的當(dāng)前日期與硬編碼的觸發(fā)日期（范圍為2027年8月8日至2028年11月29日）進(jìn)行比對(duì)。

2028年 11 月觸發(fā)日期

若日期條件匹配，代碼會(huì)創(chuàng)建“Random”類生成1至100之間的隨機(jī)數(shù)，若數(shù)值大于80（觸發(fā)概率20%），則調(diào)用“Process.GetCurrentProcess().Kill()”函數(shù)，立即終止宿主進(jìn)程。

對(duì)于頻繁調(diào)用事務(wù)或連接方法的典型PLC客戶端而言，這將導(dǎo)致運(yùn)營(yíng)操作立即中斷。

偽裝成合法Sharp7類庫(kù)（西門子S7 PLC常用的.NET通信層）的Sharp7Extend包則采用相反邏輯：在20%的情況下直接終止PLC通信，該機(jī)制將于2028年6月6日失效。

Sharp7Extend包還包含第二種破壞手段：代碼嘗試讀取不存在的配置值，導(dǎo)致初始化操作必然失敗。

第三種機(jī)制會(huì)為內(nèi)部PLC操作創(chuàng)建過濾值，并設(shè)置30至90分鐘的載荷執(zhí)行延遲。延遲結(jié)束后，經(jīng)過該過濾器的PLC寫入操作有80%的概率被篡改，進(jìn)而導(dǎo)致執(zhí)行器無法接收指令、設(shè)定值無法更新、安全系統(tǒng)無法啟動(dòng)、生產(chǎn)參數(shù)無法修改等嚴(yán)重后果。

損壞 PLC 寫入

Socket研究人員表示：“通過BeginTran()函數(shù)實(shí)現(xiàn)的隨機(jī)即時(shí)進(jìn)程終止，與通過ResFliter實(shí)現(xiàn)的延遲寫入篡改相結(jié)合，構(gòu)成了一套隨時(shí)間演進(jìn)的復(fù)雜多層攻擊。”

目前這些惡意擴(kuò)展的具體攻擊目標(biāo)與來源尚不清楚，但建議可能受影響的機(jī)構(gòu)立即核查資產(chǎn)是否安裝了上述9款包，若存在則需默認(rèn)已遭入侵并采取應(yīng)對(duì)措施。

對(duì)于運(yùn)行Sharp7Extend包的工業(yè)環(huán)境，需核查PLC寫入操作的完整性、檢查安全系統(tǒng)日志中是否存在指令丟失或啟動(dòng)失敗記錄，并為關(guān)鍵操作部署寫入驗(yàn)證機(jī)制。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-drop-disruptive-time-bombs/