Các nhà nghiên cứu bảo mật đã phát hiện các gói độc hại trên NuGet hoạt động như những quả bom hẹn giờ nhắm vào cơ sở dữ liệu và hệ thống công nghiệp.
Cuộc tấn công đượcSocketphát hiện liên quan đến chín gói độc hại được đăng trên kho lưu trữ NuGet.
Trong khi một số gói nhắm mục tiêu cơ sở dữ liệu với mã ngủ đông được kích hoạt vào năm 2027 và 2028, đáng báo động nhất làSharp7Extend, một gói trực tiếp nhắm vào hệ thống điều khiển công nghiệp (ICS).
Gói này thực hiện “typosquat”, được thiết kế để đánh lừa các nhà phát triển tìm kiếm thư việnSharp7hợp pháp
– công cụ phổ biến để giao tiếp với Bộ điều khiển logic khả trình (PLC) S7 của Siemens.
Các PLC này là xương sống trong sản xuất, năng lượng và hậu cần để quản lý các quy trình vật lý.
Để đảm bảo được sử dụng,Sharp7Extendbao gồm thư việnSharp7hợp pháp không sửa đổi, khiến nó trông hoàn toàn hoạt động trong quá trình thử nghiệm.
Tuy nhiên, gói này chứa hai cơ chế phá hoại.
Cơ chế đầu tiên kích hoạt ngay lập tức, khiến ứng dụng chủ bị treo ngẫu nhiên 20% thời gian khi giao tiếp với PLC.
Cuộc tấn công thứ hai tinh vi hơn chờ đợi “thời gian ân hạn” 30 đến 90 phút sau khi cài đặt trước khi âm thầm khiến 80% hoạt động ghi PLC thất bại.
Điều này có nghĩa là một ứng dụng tin rằng nó đã gửi thành công lệnh
– như “kích hoạt hệ thống an toàn” hoặc “cập nhật điểm đặt”
– nhưng lệnh không bao giờ được thực thi, dẫn đến hỏng dữ liệu và rủi ro an toàn vật lý tiềm ẩn.
Gói tập trung vào công nghiệp này trên NuGet chỉ là một mảnh trong chiến dịch rộng lớn hơn đã thu về gần 9.500 lượt tải xuống.
Kẻ đe dọa ‘shanhai666’ đã sử dụng nhiều kỹ thuật để xây dựng lòng tin và né tránh phát hiện trên tất cả chín gói độc hại.
Các gói được báo cáo là hoạt động 99% chức năng, cung cấp các triển khai hoạt động của các tính năng được quảng cáo như mẫu kho lưu trữ cơ sở dữ liệu và quản lý giao dịch.
Kẻ tấn công thậm chí đã xuất bản ba gói hoàn toàn hợp pháp để thiết lập hồ sơ đáng tin cậy.
Mã chất lượng cao và chức năng này đóng vai trò như con ngựa thành Troia, ẩn chứa tải trọng độc hại trong hàng ngàn dòng triển khai hợp pháp.
Phần mềm độc hại kích hoạt bằng phương thức mở rộng C#;
một tính năng của ngôn ngữ cho phép mã của kẻ tấn công chạy minh bạch mỗi khi ứng dụng thực hiện truy vấn cơ sở dữ liệu hoặc thao tác PLC.
Đối với các gói cơ sở dữ liệu, mã độc này nằm im sau khi cài đặt từ NuGet cho đến các ngày kích hoạt vào năm 2027 và 2028, tại thời điểm đó nó có 20% cơ hội chấm dứt ngay lập tức toàn bộ ứng dụng trên mỗi truy vấn.
Do tính chất xác suất và trì hoãn thời gian của các cuộc tấn công, việc xác định nguồn gốc gần như không thể.
Một ứng dụng đột nhiên bắt đầu treo vào năm 2027 khó có thể được truy ngược lại về một phụ thuộc có vẻ bình thường được cài đặt bởi nhà phát triển vào năm 2024, người có thể đã rời khỏi tổ chức từ lâu.
Các sự cố treo ngẫu nhiên bắt chước lỗi ngắt quãng, gây khó khăn cho nỗ lực điều tra.
Việc kiểm tra bảo mật truyền thống không còn đủ.
Ưu tiên hàng đầu là kiểm tra toàn diện tất cả các ứng dụng .NET để quét chín gói NuGet độc hại.
Bất kỳ hệ thống nào chạySharp7Extendnên được coi là bị xâm phạm và điều tra các vấn đề toàn vẹn dữ liệu.
Chiến dịch mới nhất của các gói độc hại trên NuGet cho thấy cáchcông nghệ vận hành(OT) đang bị nhắm mục tiêu trực tiếp và tích cực thông qua chuỗi cung ứng CNTT.
Các biện pháp kiểm soát mới, như xác minh ghi cho truyền thông PLC và giám sát đường cơ sở, phải được triển khai để phát hiện tỷ lệ thất bại bất thường.
Bảo mật phải phát triển vượt ra ngoài việc kiểm tra các lỗ hổng đã biết hướng tới việc chủ động săn lùng ý định độc hại thông qua phân tích hành vi của tất cả mã của bên thứ ba.
