🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um conjunto de nove pacotes NuGet maliciosos foi identificado como capaz de descartar cargas atrasadas para sabotar operações de banco de dados e corromper sistemas de controle industrial.
De acordo com a empresa de segurança da cadeia de suprimentos de software Socket, os pacotes foram publicados em 2023 e 2024 por um usuário chamado “shanhai666” e são projetados para executar código malicioso após datas de acionamento específicas em agosto de 2027 e novembro de 2028. Os pacotes foram baixados coletivamente 9.488 vezes.
“O pacote mais perigoso, Sharp7Extend, tem como alvo PLCs industriais com mecanismos duplos de sabotagem: encerramento aleatório imediato do processo e falhas silenciosas de gravação que começam 30-90 minutos após a instalação, afetando sistemas críticos de segurança em ambientes de fabricação”, disse o pesquisador de segurança Kush Pandya.
A lista de pacotes maliciosos está abaixo -
MyDbRepository (última atualização em 13 de maio de 2023)
MCDbRepository (última atualização em 5 de junho de 2024)
Sharp7Extend (última atualização em 14 de agosto de 2024)
SqlDbRepository (última atualização em 24 de outubro de 2024)
SqlRepository (última atualização em 25 de outubro de 2024)
SqlUnicornCoreTest (última atualização em 26 de outubro de 2024)
SqlUnicornCore (última atualização em 26 de outubro de 2024)
SqlUnicorn.Core (última atualização em 27 de outubro de 2024)
SqlLiteRepository (última atualização em 28 de outubro de 2024)
Socket disse que todos os nove pacotes não autorizados funcionam conforme anunciado, permitindo que os agentes da ameaça construam confiança entre os desenvolvedores downstream, que podem acabar baixando-os sem perceber que eles vêm incorporados com uma bomba lógica que está programada para detonar no futuro.
Descobriu-se que o ator da ameaça publicou um total de 12 pacotes, com os três restantes funcionando conforme planejado, sem qualquer funcionalidade maliciosa. Todos eles foram removidos do NuGet. Sharp7Extend, acrescentou a empresa, foi projetado para atingir usuários da biblioteca legítima Sharp7, uma implementação .NET para comunicação com controladores lógicos programáveis (PLCs) Siemens S7.
Embora agrupar o Sharp7 no pacote NuGet dê uma falsa sensação de segurança, ele desmente o fato de que a biblioteca injeta furtivamente código malicioso quando um aplicativo executa uma consulta de banco de dados ou operação de PLC, explorando métodos de extensão C#.
“Os métodos de extensão permitem que os desenvolvedores adicionem novos métodos aos tipos existentes sem modificar o código original – um poderoso recurso C# que o agente da ameaça utiliza como arma para interceptação”, explicou Pandya. "Cada vez que um aplicativo executa uma consulta ao banco de dados ou operação PLC, esses métodos de extensão são executados automaticamente, verificando a data atual em relação às datas de acionamento (codificado na maioria dos pacotes, configuração criptografada no Sharp7Extend)."
Depois que a data de ativação passa, o malware encerra todo o processo de aplicação com uma probabilidade de 20%. No caso do Sharp7Extend, a lógica maliciosa é ativada imediatamente após a instalação e continua até 6 de junho de 2028, quando o mecanismo de encerramento para por si só.
O pacote também inclui um recurso para sabotar operações de gravação no PLC 80% do tempo após um atraso aleatório de 30 a 90 minutos. Isso também significa que ambos os gatilhos – os encerramentos aleatórios do processo e as falhas de gravação – estarão operacionais em conjunto assim que o período de carência terminar.
Certas implementações SQL Server, PostgreSQL e SQLite associadas a outros pacotes, por outro lado, estão definidas para serem acionadas em 8 de agosto de 2027 (MCDbRepository) e 29 de novembro de 2028 (SqlUnicornCoreTest e SqlUnicornCore).
“Essa abordagem escalonada dá ao agente da ameaça uma janela mais longa para coletar as vítimas antes que o malware de ativação retardada seja acionado, ao mesmo tempo que interrompe imediatamente os sistemas de controle industrial”, disse Pandya.
Atualmente não se sabe quem está por trás do ataque à cadeia de suprimentos, mas Socket disse que a análise do código-fonte e a escolha do nome “shanhai666” sugerem que pode ser o trabalho de um ator de ameaça, possivelmente de origem chinesa.
“Esta campanha demonstra técnicas sofisticadas raramente combinadas em ataques à cadeia de suprimentos do NuGet”, concluiu a empresa. “Os desenvolvedores que instalaram pacotes em 2024 terão migrado para outros projetos ou empresas até 2027-2028, quando o malware de banco de dados for acionado, e a execução probabilística de 20% disfarça ataques sistemáticos como travamentos aleatórios ou falhas de hardware.”
“Isso torna a resposta a incidentes e a investigação forense quase impossível, as organizações não podem rastrear o malware até seu ponto de introdução, identificar quem instalou a dependência comprometida ou estabelecer um cronograma claro de comprometimento, apagando efetivamente o rastro de papel do ataque”.
De acordo com a empresa de segurança da cadeia de suprimentos de software Socket, os pacotes foram publicados em 2023 e 2024 por um usuário chamado “shanhai666” e são projetados para executar código malicioso após datas de acionamento específicas em agosto de 2027 e novembro de 2028. Os pacotes foram baixados coletivamente 9.488 vezes.
“O pacote mais perigoso, Sharp7Extend, tem como alvo PLCs industriais com mecanismos duplos de sabotagem: encerramento aleatório imediato do processo e falhas silenciosas de gravação que começam 30-90 minutos após a instalação, afetando sistemas críticos de segurança em ambientes de fabricação”, disse o pesquisador de segurança Kush Pandya.
A lista de pacotes maliciosos está abaixo -
MyDbRepository (última atualização em 13 de maio de 2023)
MCDbRepository (última atualização em 5 de junho de 2024)
Sharp7Extend (última atualização em 14 de agosto de 2024)
SqlDbRepository (última atualização em 24 de outubro de 2024)
SqlRepository (última atualização em 25 de outubro de 2024)
SqlUnicornCoreTest (última atualização em 26 de outubro de 2024)
SqlUnicornCore (última atualização em 26 de outubro de 2024)
SqlUnicorn.Core (última atualização em 27 de outubro de 2024)
SqlLiteRepository (última atualização em 28 de outubro de 2024)
Socket disse que todos os nove pacotes não autorizados funcionam conforme anunciado, permitindo que os agentes da ameaça construam confiança entre os desenvolvedores downstream, que podem acabar baixando-os sem perceber que eles vêm incorporados com uma bomba lógica que está programada para detonar no futuro.
Descobriu-se que o ator da ameaça publicou um total de 12 pacotes, com os três restantes funcionando conforme planejado, sem qualquer funcionalidade maliciosa. Todos eles foram removidos do NuGet. Sharp7Extend, acrescentou a empresa, foi projetado para atingir usuários da biblioteca legítima Sharp7, uma implementação .NET para comunicação com controladores lógicos programáveis (PLCs) Siemens S7.
Embora agrupar o Sharp7 no pacote NuGet dê uma falsa sensação de segurança, ele desmente o fato de que a biblioteca injeta furtivamente código malicioso quando um aplicativo executa uma consulta de banco de dados ou operação de PLC, explorando métodos de extensão C#.
“Os métodos de extensão permitem que os desenvolvedores adicionem novos métodos aos tipos existentes sem modificar o código original – um poderoso recurso C# que o agente da ameaça utiliza como arma para interceptação”, explicou Pandya. "Cada vez que um aplicativo executa uma consulta ao banco de dados ou operação PLC, esses métodos de extensão são executados automaticamente, verificando a data atual em relação às datas de acionamento (codificado na maioria dos pacotes, configuração criptografada no Sharp7Extend)."
Depois que a data de ativação passa, o malware encerra todo o processo de aplicação com uma probabilidade de 20%. No caso do Sharp7Extend, a lógica maliciosa é ativada imediatamente após a instalação e continua até 6 de junho de 2028, quando o mecanismo de encerramento para por si só.
O pacote também inclui um recurso para sabotar operações de gravação no PLC 80% do tempo após um atraso aleatório de 30 a 90 minutos. Isso também significa que ambos os gatilhos – os encerramentos aleatórios do processo e as falhas de gravação – estarão operacionais em conjunto assim que o período de carência terminar.
Certas implementações SQL Server, PostgreSQL e SQLite associadas a outros pacotes, por outro lado, estão definidas para serem acionadas em 8 de agosto de 2027 (MCDbRepository) e 29 de novembro de 2028 (SqlUnicornCoreTest e SqlUnicornCore).
“Essa abordagem escalonada dá ao agente da ameaça uma janela mais longa para coletar as vítimas antes que o malware de ativação retardada seja acionado, ao mesmo tempo que interrompe imediatamente os sistemas de controle industrial”, disse Pandya.
Atualmente não se sabe quem está por trás do ataque à cadeia de suprimentos, mas Socket disse que a análise do código-fonte e a escolha do nome “shanhai666” sugerem que pode ser o trabalho de um ator de ameaça, possivelmente de origem chinesa.
“Esta campanha demonstra técnicas sofisticadas raramente combinadas em ataques à cadeia de suprimentos do NuGet”, concluiu a empresa. “Os desenvolvedores que instalaram pacotes em 2024 terão migrado para outros projetos ou empresas até 2027-2028, quando o malware de banco de dados for acionado, e a execução probabilística de 20% disfarça ataques sistemáticos como travamentos aleatórios ou falhas de hardware.”
“Isso torna a resposta a incidentes e a investigação forense quase impossível, as organizações não podem rastrear o malware até seu ponto de introdução, identificar quem instalou a dependência comprometida ou estabelecer um cronograma claro de comprometimento, apagando efetivamente o rastro de papel do ataque”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bombas #lógicas #ocultas #em #pacotes #nuget #com #malware #definidas #para #detonar #anos #após #a #instalação
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário