Due anni fa, un account con il nome "shanhai666" ha caricato nove pacchetti NuGet dannosi, innescando un complesso attacco alla supply chain del software.
Secondo Socket, azienda specializzata in sicurezza della supply chain, i pacchetti sono stati scaricati complessivamente 9.488 volte. Inoltre, sono stati fissati specifici trigger per agosto 2027 e novembre 2028.
Kush Pandya, membro del team di Socket, ha scoperto l'autore della minaccia dietro la campagna che ha pubblicato un totale di 12 pacchetti. Nove dei pacchetti contengono routine dannose, mentre tre sono implementazioni completamente funzionanti che mascherano i restanti da "credibili".
Pandya ritiene che l'hacker abbia utilizzato librerie legittime insieme a quelle dannose per indurre gli sviluppatori a installare i pacchetti senza rilevare anomalie durante i test di routine.
"La funzionalità legittima maschera il payload dannoso di circa 20 righe nascosto in migliaia di righe di codice legittimo e ne ritarda la scoperta poiché, anche dopo l'attivazione, gli arresti anomali appaiono come bug casuali anziché come attacchi sistematici", ha scritto in un rapporto del 6 novembre.
9 minacce nascoste di NuGet nel codice legittimo
I nove pacchetti dannosi identificati potrebbero colpire tutti e tre i principali provider di database utilizzati nelle applicazioni .NET: Microsoft SQL Server, PostgreSQL e SQLite. Un pacchetto, Sharp7Extend, prende di mira specificamente i PLC industriali utilizzati nella produzione e nell'automazione dei processi.
La ricerca di Socket ha ipotizzato che il database potrebbe essere vulnerabile a un attacco alla supply chain con un duplice scopo, che minaccia lo sviluppo del software e le operazioni delle infrastrutture critiche.
Pandya ha coniato il pacchetto Sharp7Extend come il più pericoloso tra i pacchetti dannosi , trattandosi di un typosquat dell'implementazione legittima della libreria Sharp7 .NET per la comunicazione con i controllori logici programmabili Siemens S7.
Aggiungere "Extend" al nome attendibile potrebbe aiutare il pacchetto dannoso a installare "accidentalmente" codice tramite gli ingegneri dell'automazione alla ricerca di miglioramenti di Sharp7. Il pacchetto include l'intera libreria Sharp7 non modificata con il suo payload dannoso. Durante i test, la comunicazione PLC standard potrebbe sembrare funzionante come previsto, ma il malware incorporato è mascherato.
"Sharp7Extend prende di mira i PLC industriali con doppi meccanismi di sabotaggio: interruzione immediata e casuale del processo e guasti di scrittura silenziosi che iniziano 30-90 minuti dopo l'installazione", ha affermato il ricercatore di sicurezza.
I pacchetti dannosi utilizzano metodi di estensione C# per aggiungere codice pericoloso al database e alle operazioni PLC senza modificare il codice originale. Per i pacchetti database, un metodo .Exec() viene aggiunto ai tipi di comando, mentre Sharp7Extend aggiunge un metodo .BeginTran() agli oggetti S7Client.
Le estensioni vengono eseguite automaticamente ogni volta che un'applicazione esegue un'azione PLC o una query. Dopo la data di attivazione, il malware genera un numero casuale compreso tra 1 e 100.
Se il numero supera 80, il che ha una probabilità del 20% che ciò accada, il pacchetto termina immediatamente il processo in esecuzione tramite Process.GetCurrentProcess().Kill(). Si verifica quindi un'interruzione improvvisa, senza avvisi o voci di log, che potrebbero sembrare instabilità di rete, guasti hardware o altri errori di sistema "non allarmanti".
Sharp7Extend implementa anche la corruzione ritardata in scrittura tramite un timer che imposta un periodo di tolleranza di 30-90 minuti. Dopo il periodo di tolleranza, un metodo di filtro chiamato ResFliter.fliter() inizia a rilevare silenziosamente i fallimenti delle operazioni di scrittura nell'80% dei casi.
I metodi interessati includono WriteDBSingleByte, WriteDBSingleInt e WriteDBSingleDInt. Le operazioni sembrano riuscite, anche se i dati non vengono effettivamente scritti sul PLC.
Timer impostato da agosto 2027 a novembre 2028
Il rapporto di Socket Security afferma che alcuni pacchetti incentrati sui database nel crocevia della campagna, tra cui MCDbRepository, dovrebbero eseguire il loro payload l'8 agosto 2027. SqlUnicornCore e SqlUnicornCoreTest potrebbero probabilmente diventare attivi il 29 novembre 2028.
"Questo approccio scaglionato offre all'autore della minaccia una finestra temporale più lunga per raccogliere le vittime prima che il malware ad attivazione ritardata si attivi, interrompendo immediatamente i sistemi di controllo industriale", ha spiegato Pandya.
L'indagine di Socket ha scoperto che il nome "shanhai666" e parti del codice sorgente sono di origine cinese.
A settembre, gli analisti della sicurezza informatica hanno scoperto un codice sui server Microsoft Internet Information Services (IIS) che sfruttava vulnerabilità fin dal 2003. L'operazione coinvolge moduli IIS dannosi utilizzati per l'esecuzione di comandi remoti e frodi di ottimizzazione per i motori di ricerca (SEO).
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi partecipare? Unisciti a loro .