Se ha identificado un conjunto de nueve paquetes NuGet maliciosos como capaces de lanzar cargas útiles retardadas para sabotear las operaciones de bases de datos y corromper los sistemas de control industrial.
Según la empresa de seguridad de la cadena de suministro de software Socket, los paquetes fueron publicados en 2023 y 2024 por un usuario llamado «shanhai666» y están diseñados para ejecutar código malicioso después de fechas de activación específicas en agosto de 2027 y noviembre de 2028. Los paquetes se descargaron colectivamente 9.488 veces.
«El paquete más peligroso, Sharp7Extend, apunta a los PLC industriales con mecanismos de sabotaje dual: terminación aleatoria inmediata del proceso y fallas de escritura silenciosas que comienzan entre 30 y 90 minutos después de la instalación, afectando los sistemas críticos para la seguridad en entornos de fabricación», dijo el investigador de seguridad Kush Pandya.
La lista de paquetes maliciosos se encuentra a continuación:
- MyDbRepository (Última actualización el 13 de mayo de 2023)
- MCDbRepository (Última actualización el 5 de junio de 2024)
- Sharp7Extend (Última actualización el 14 de agosto de 2024)
- SqlDbRepository (Última actualización el 24 de octubre de 2024)
- SqlRepository (Última actualización el 25 de octubre de 2024)
- SqlUnicornCoreTest (Última actualización el 26 de octubre de 2024)
- SqlUnicornCore (Última actualización el 26 de octubre de 2024)
- SqlUnicorn.Core (Última actualización el 27 de octubre de 2024)
- SqlLiteRepository (Última actualización el 28 de octubre de 2024)
Socket dijo que los nueve paquetes maliciosos funcionan como se anuncia, lo que permite a los actores de amenazas generar confianza entre los desarrolladores posteriores que pueden terminar descargándolos sin darse cuenta de que vienen integrados con una bomba lógica en su interior que está programada para detonar en el futuro.
Se ha descubierto que el actor de amenazas publica un total de 12 paquetes, y los tres restantes funcionan según lo previsto sin ninguna funcionalidad maliciosa. Todos ellos han sido eliminados de NuGet. Sharp7Extend, agregó la compañía, está diseñado para usuarios de la biblioteca legítima Sharp7, una implementación .NET para comunicarse con los controladores lógicos programables (PLC) Siemens S7.
Si bien incluir Sharp7 en el paquete NuGet le da una falsa sensación de seguridad, desmiente el hecho de que la biblioteca inyecta sigilosamente código malicioso cuando una aplicación realiza una consulta de base de datos o una operación de PLC mediante la explotación de métodos de extensión de C#.
«Los métodos de extensión permiten a los desarrolladores agregar nuevos métodos a los tipos existentes sin modificar el código original, una poderosa característica de C# que el actor de amenazas utiliza como arma para la interceptación», explicó Pandya. «Cada vez que una aplicación ejecuta una consulta de base de datos o una operación de PLC, estos métodos de extensión se ejecutan automáticamente, verificando la fecha actual con las fechas de activación (codificadas en la mayoría de los paquetes, configuración cifrada en Sharp7Extend)».
Una vez pasada la fecha de activación, el malware finaliza todo el proceso de solicitud con un 20% de probabilidad. En el caso de Sharp7Extend, la lógica maliciosa se activa inmediatamente después de la instalación y continúa hasta el 6 de junio de 2028, cuando el mecanismo de terminación se detiene por sí solo.
El paquete también incluye una función para sabotear las operaciones de escritura en el PLC el 80% del tiempo después de un retraso aleatorio de entre 30 y 90 minutos. Esto también significa que ambos desencadenantes (las terminaciones aleatorias del proceso y los errores de escritura) están operativos en conjunto una vez transcurrido el período de gracia.
Por otro lado, ciertas implementaciones de SQL Server, PostgreSQL y SQLite asociadas con otros paquetes están configuradas para activarse el 8 de agosto de 2027 (MCDbRepository) y el 29 de noviembre de 2028 (SqlUnicornCoreTest y SqlUnicornCore).
«Este enfoque escalonado le da al actor de la amenaza una ventana más larga para recolectar víctimas antes de que se active el malware de activación retardada, al mismo tiempo que interrumpe inmediatamente los sistemas de control industrial», dijo Pandya.
Actualmente no se sabe quién está detrás del ataque a la cadena de suministro, pero Socket dijo que el análisis del código fuente y la elección del nombre «shanhai666» sugieren que puede ser obra de un actor de amenazas, posiblemente de origen chino.
«Esta campaña demuestra técnicas sofisticadas que rara vez se combinan en ataques a la cadena de suministro de NuGet», concluyó la empresa. «Los desarrolladores que instalaron paquetes en 2024 se habrán trasladado a otros proyectos o empresas entre 2027 y 2028, cuando se active el malware de la base de datos y la ejecución probabilística del 20 % disfraze los ataques sistemáticos como fallos aleatorios o fallos de hardware».
«Esto hace que la respuesta a incidentes y la investigación forense sean casi imposibles, las organizaciones no pueden rastrear el malware hasta su punto de introducción, identificar quién instaló la dependencia comprometida o establecer un cronograma claro del compromiso, borrando efectivamente el rastro documental del ataque».
