📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Vários pacotes maliciosos no NuGet têm cargas de sabotagem programadas para serem ativadas em 2027 e 2028, visando implementações de banco de dados e dispositivos de controle industrial Siemens S7.
O código malicioso incorporado usa um gatilho probabilístico, portanto pode ou não ser ativado dependendo de um conjunto de parâmetros no dispositivo infectado.
NuGet é um gerenciador de pacotes de código aberto e sistema de distribuição de software, permitindo que os desenvolvedores baixem e incluam bibliotecas .NET prontas para execução em seus projetos.
Pesquisadores da empresa de segurança de código Socket encontraram nove pacotes maliciosos no NuGet, todos publicados sob o nome de desenvolvedor shanhai666, que apresentavam funcionalidades legítimas junto com o código prejudicial.
Os pacotes "visam estrategicamente todos os três principais provedores de banco de dados usados em aplicativos .NET (SQL Server, PostgreSQL, SQLite)". No entanto, o mais perigoso deles é o Sharp7Extend, que tem como alvo os usuários da biblioteca legítima Sharp7 para comunicação via Ethernet com controladores lógicos programáveis (CLPs) da Siemens.
“Ao anexar “Extend” ao nome confiável do Sharp7, o agente da ameaça explora os desenvolvedores que procuram extensões ou melhorias do Sharp7”, disseram os pesquisadores do Socket.
Sob o nome de desenvolvedor shanhai666, o NuGet listou 12 pacotes, mas apenas nove deles incluíam código malicioso:
SqlUnicorn.Core
Repositório SqlDb
Repositório SqlLite
SqlUnicornCoreTest
SqlUnicornCore
SqlRepositório
MeuRepositórioDb
Repositório MCDb
Sharp7Extend
No momento da publicação, não há pacotes listados com o nome desse desenvolvedor. Mas é importante ressaltar que a exclusão ocorreu depois que a contagem de downloads atingiu quase 9.500.
Escondendo uma “bomba” para 2028
De acordo com os pesquisadores do Socket, os pacotes contêm em sua maioria (99%) código legítimo, criando uma falsa sensação de segurança e confiança, mas incluem uma pequena carga maliciosa de 20 linhas.
“O malware explora métodos de extensão C# para injetar lógica maliciosa de forma transparente em cada banco de dados e operação de PLC”, explica Socket em um relatório esta semana.
Os métodos de extensão são executados sempre que uma aplicação realiza uma consulta ao banco de dados ou uma operação do PLC. Há também uma verificação da data atual no sistema comprometido em relação a uma data de acionamento codificada, que varia de 8 de agosto de 2027 a 29 de novembro de 2028.
Data de início para novembro de 2028Fonte: Socket
Se a condição de data corresponder, o código cria uma classe ‘Random’ para gerar um número entre 1 e 100, e se for maior que 80 (20% de chance), chama ‘Process.GetCurrentProcess().Kill()’ para o encerramento imediato do processo host.
Para clientes PLC típicos que chamam frequentemente métodos transacionais ou de conexão, isso levaria a uma parada imediata das operações.
O pacote Sharp7Extend, que representa a biblioteca legítima Sharp7, uma popular camada de comunicação .NET para PLCs Siemens S7, segue a abordagem oposta, encerrando imediatamente as comunicações do PLC em 20% dos casos. Este mecanismo expirará em 6 de junho de 2028.
Um segundo método de sabotagem no pacote Sharp7Extend consiste em código tentando ler um valor de configuração inexistente. Como resultado, a inicialização sempre falha.
Um segundo mecanismo cria um valor de filtro para operações internas do PLC e define um atraso de execução da carga útil entre 30 e 90 minutos.
Depois de decorrido esse tempo, as gravações do PLC que passam pelo filtro têm 80% de chance de serem corrompidas, fazendo com que os atuadores não recebam comandos, os pontos de ajuste não sejam atualizados, os sistemas de segurança não sejam acionados e os parâmetros de produção não sejam modificados.
Corrompendo gravações do PLCFonte: Socket
“A combinação de encerramento aleatório imediato do processo (via BeginTran()) e corrupção de gravação atrasada (via ResFliter) cria um ataque sofisticado em várias camadas que evolui com o tempo”, dizem os pesquisadores do Socket.
Embora os objetivos exatos e as origens destas extensões permaneçam obscuros, recomenda-se que as organizações potencialmente afetadas auditem imediatamente os seus ativos relativamente aos nove pacotes e assumam compromissos, caso existam.
Para ambientes industriais que executam o Sharp7Extend, audite as operações de gravação do PLC quanto à integridade, verifique os registros do sistema de segurança em busca de comandos perdidos ou ativações com falha e implemente a verificação de gravação para operações críticas.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
O código malicioso incorporado usa um gatilho probabilístico, portanto pode ou não ser ativado dependendo de um conjunto de parâmetros no dispositivo infectado.
NuGet é um gerenciador de pacotes de código aberto e sistema de distribuição de software, permitindo que os desenvolvedores baixem e incluam bibliotecas .NET prontas para execução em seus projetos.
Pesquisadores da empresa de segurança de código Socket encontraram nove pacotes maliciosos no NuGet, todos publicados sob o nome de desenvolvedor shanhai666, que apresentavam funcionalidades legítimas junto com o código prejudicial.
Os pacotes "visam estrategicamente todos os três principais provedores de banco de dados usados em aplicativos .NET (SQL Server, PostgreSQL, SQLite)". No entanto, o mais perigoso deles é o Sharp7Extend, que tem como alvo os usuários da biblioteca legítima Sharp7 para comunicação via Ethernet com controladores lógicos programáveis (CLPs) da Siemens.
“Ao anexar “Extend” ao nome confiável do Sharp7, o agente da ameaça explora os desenvolvedores que procuram extensões ou melhorias do Sharp7”, disseram os pesquisadores do Socket.
Sob o nome de desenvolvedor shanhai666, o NuGet listou 12 pacotes, mas apenas nove deles incluíam código malicioso:
SqlUnicorn.Core
Repositório SqlDb
Repositório SqlLite
SqlUnicornCoreTest
SqlUnicornCore
SqlRepositório
MeuRepositórioDb
Repositório MCDb
Sharp7Extend
No momento da publicação, não há pacotes listados com o nome desse desenvolvedor. Mas é importante ressaltar que a exclusão ocorreu depois que a contagem de downloads atingiu quase 9.500.
Escondendo uma “bomba” para 2028
De acordo com os pesquisadores do Socket, os pacotes contêm em sua maioria (99%) código legítimo, criando uma falsa sensação de segurança e confiança, mas incluem uma pequena carga maliciosa de 20 linhas.
“O malware explora métodos de extensão C# para injetar lógica maliciosa de forma transparente em cada banco de dados e operação de PLC”, explica Socket em um relatório esta semana.
Os métodos de extensão são executados sempre que uma aplicação realiza uma consulta ao banco de dados ou uma operação do PLC. Há também uma verificação da data atual no sistema comprometido em relação a uma data de acionamento codificada, que varia de 8 de agosto de 2027 a 29 de novembro de 2028.
Data de início para novembro de 2028Fonte: Socket
Se a condição de data corresponder, o código cria uma classe ‘Random’ para gerar um número entre 1 e 100, e se for maior que 80 (20% de chance), chama ‘Process.GetCurrentProcess().Kill()’ para o encerramento imediato do processo host.
Para clientes PLC típicos que chamam frequentemente métodos transacionais ou de conexão, isso levaria a uma parada imediata das operações.
O pacote Sharp7Extend, que representa a biblioteca legítima Sharp7, uma popular camada de comunicação .NET para PLCs Siemens S7, segue a abordagem oposta, encerrando imediatamente as comunicações do PLC em 20% dos casos. Este mecanismo expirará em 6 de junho de 2028.
Um segundo método de sabotagem no pacote Sharp7Extend consiste em código tentando ler um valor de configuração inexistente. Como resultado, a inicialização sempre falha.
Um segundo mecanismo cria um valor de filtro para operações internas do PLC e define um atraso de execução da carga útil entre 30 e 90 minutos.
Depois de decorrido esse tempo, as gravações do PLC que passam pelo filtro têm 80% de chance de serem corrompidas, fazendo com que os atuadores não recebam comandos, os pontos de ajuste não sejam atualizados, os sistemas de segurança não sejam acionados e os parâmetros de produção não sejam modificados.
Corrompendo gravações do PLCFonte: Socket
“A combinação de encerramento aleatório imediato do processo (via BeginTran()) e corrupção de gravação atrasada (via ResFliter) cria um ataque sofisticado em várias camadas que evolui com o tempo”, dizem os pesquisadores do Socket.
Embora os objetivos exatos e as origens destas extensões permaneçam obscuros, recomenda-se que as organizações potencialmente afetadas auditem imediatamente os seus ativos relativamente aos nove pacotes e assumam compromissos, caso existam.
Para ambientes industriais que executam o Sharp7Extend, audite as operações de gravação do PLC quanto à integridade, verifique os registros do sistema de segurança em busca de comandos perdidos ou ativações com falha e implemente a verificação de gravação para operações críticas.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
#samirnews #samir #news #boletimtec #pacotes #nuget #maliciosos #lançam #bombasrelógio #perturbadoras
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário