供应链安全公司Socket近日发现九个由”shanhai666″发布的恶意NuGet软件包,这些在2023至2024年间发布的软件包已被下载9,488次,其内预置的延时攻击载荷将在2027年8月至2028年11月期间陆续激活,目标直指数据库与工业控制系统。
研究人员指出,最具危害性的Sharp7Extend软件包采用双重破坏机制针对工业PLC:安装后立即随机终止进程,并在30-90分钟后开始引发静默写入故障,直接影响制造环境中的安全关键系统。这些软件包中99%均包含完全正常的功能代码以掩盖恶意行为。
恶意软件包完整名单包括:
SqlUnicorn.Core、SqlDbRepository、SqlLiteRepository、SqlUnicornCoreTest、SqlUnicornCore、SqlRepository、MyDbRepository、MCDbRepository、Sharp7Extend。
攻击手法上,恶意包通过名为Sharp7Extend的仿冒组件捆绑正版Sharp7库与隐藏恶意代码,利用C#扩展方法(.Exec和.BeginTran)截获操作指令。攻击触发器经过精心设计:SQL Server版本将于2027年8月8日激活,其他数据库版本于2028年11月29日激活,而Sharp7Extend则立即激活并持续运行至2028年6月6日。
特别值得关注的是,Sharp7Extend在30-90分钟潜伏期后,将以80%的概率令写入操作静默失败,影响执行器、设定点、安全系统与生产控制。这种随机崩溃与隐藏数据损坏的组合机制使得攻击极难被察觉。
该活动展现出NuGet供应链攻击中罕见的精密特性:从安装到触发最长可达三年的时差,结合20%概率执行机制,使得系统故障极易被误判为随机崩溃或硬件问题。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容