NuGet'teki bazı kötü amaçlı paketler, veritabanı uygulamalarını ve Siemens S7 endüstriyel kontrol cihazlarını hedef alan, 2027 ve 2028'de etkinleştirilmesi planlanan sabotaj yüklerine sahiptir.
Yerleşik kötü amaçlı kod, olasılığa dayalı bir tetikleyici kullandığından, etkilenen cihazdaki bir dizi parametreye bağlı olarak etkinleştirilebilir veya etkinleştirilmeyebilir.
NuGet, geliştiricilerin projeleri için çalışmaya hazır .NET kitaplıklarını indirmelerine ve dahil etmelerine olanak tanıyan açık kaynaklı bir paket yöneticisi ve yazılım dağıtım sistemidir.
Kod güvenliği şirketi Socket'deki araştırmacılar, NuGet'te tümü shanhai666 geliştirici adı altında yayınlanan ve zararlı kodun yanı sıra meşru işlevler de içeren dokuz kötü amaçlı paket buldu.
Paketler ".NET uygulamalarında (SQL Server, PostgreSQL, SQLite) kullanılan üç ana veritabanı sağlayıcısının tümünü stratejik olarak hedefliyor." Ancak bunların en tehlikelisi, meşru Sharp7 kitaplığının kullanıcılarını Ethernet üzerinden Siemens programlanabilir mantık denetleyicileri (PLC'ler) ile iletişim kurmak için hedefleyen Sharp7Extend'dir.
Soket araştırmacıları, "Tehdit aktörü, güvenilir Sharp7 ismine "Extend" ifadesini ekleyerek Sharp7 uzantıları veya geliştirmeleri arayan geliştiricileri istismar ediyor" dedi.
NuGet, Shanhai666 geliştirici adı altında 12 paket listeledi ancak bunlardan yalnızca dokuzu kötü amaçlı kod içeriyordu:
Yayınlanma sırasında bu geliştiricinin adı altında listelenen hiçbir paket yok. Ancak listeden çıkarma işleminin indirme sayısının neredeyse 9.500'e ulaşmasından sonra gerçekleştiğini de belirtmek gerekiyor.
Socket araştırmacılarına göre paketler çoğunlukla (%99) meşru kod içeriyor ve sahte bir güvenlik ve güven duygusu yaratıyor ancak 20 satırlık küçük bir kötü amaçlı veri yükü içeriyor.
Socket bu hafta bir raporda şöyle açıklıyor: "Kötü amaçlı yazılım, her veritabanına ve PLC işlemine şeffaf bir şekilde kötü amaçlı mantık enjekte etmek için C# uzantı yöntemlerinden yararlanıyor."
Uzantı yöntemleri, bir uygulamanın bir veritabanı sorgusu veya bir PLC işlemi gerçekleştirdiği her seferde yürütülür. Ayrıca, güvenliği ihlal edilmiş sistemdeki mevcut tarih için, 8 Ağustos 2027 ile 29 Kasım 2028 arasında değişen sabit kodlanmış bir tetikleme tarihine göre bir doğrulama da mevcuttur.
Tarih koşulunun eşleşmesi durumunda kod, 1 ile 100 arasında bir sayı oluşturmak için bir 'Random' sınıfı oluşturur ve 80'den yüksekse (%20 şans) ana bilgisayar işleminin derhal sonlandırılması için 'Process.GetCurrentProcess().Kill()' öğesini çağırır.
İşlem veya bağlantı yöntemlerini sık sık çağıran tipik PLC istemcileri için bu durum, operasyonların anında durmasına yol açacaktır.
Siemens S7 PLC'ler için popüler bir .NET iletişim katmanı olan meşru Sharp7 kütüphanesini taklit eden Sharp7Extend paketi ise tam tersi bir yaklaşım izleyerek vakaların %20'sinde PLC iletişimini anında sonlandırıyor. Bu mekanizmanın süresi 6 Haziran 2028'de dolacak.
Sharp7Extend paketindeki ikinci bir sabotaj yöntemi, kodun var olmayan bir yapılandırma değerinden okumaya çalışmasını içerir. Sonuç olarak, başlatma işlemi her zaman başarısız olur.
İkinci bir mekanizma, dahili PLC işlemleri için bir filtre değeri oluşturur ve 30 ile 90 dakika arasında bir yük yürütme gecikmesi ayarlar.
Bu süre geçtikten sonra, filtreden geçen PLC yazmalarının bozulma şansı %80 olur; bu da aktüatörlerin komut almamasına, ayar noktalarının güncellenmemesine, güvenlik sistemlerinin devreye girmemesine ve üretim parametrelerinin değiştirilmemesine neden olur.
Soket araştırmacıları, "Anında rastgele işlem sonlandırma (BeginTran() aracılığıyla) ve gecikmeli yazma bozulmasının (ResFliter yoluyla) birleşimi, zaman içinde gelişen karmaşık, çok katmanlı bir saldırı yaratıyor" diyor.
Bu uzantıların kesin hedefleri ve kökenleri belirsizliğini korusa da, potansiyel olarak etkilenmesi muhtemel kuruluşların dokuz pakete ilişkin varlıklarını derhal denetlemeleri ve herhangi bir uzlaşma varsa varsaymaları tavsiye ediliyor.
Sharp7Extend çalıştıran endüstriyel ortamlarda, PLC yazma işlemlerini bütünlük açısından denetleyin, kaçırılan komutlar veya başarısız aktivasyonlar için güvenlik sistemi günlüklerini kontrol edin ve kritik işlemler için yazma doğrulaması uygulayın.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Kötü amaçlı NPM paketleri Windows, Linux ve macOS için bilgi hırsızı getiriyor
Kendi kendine yayılan GlassWorm kötü amaçlı yazılımı OpenVSX ve VS Code kayıt defterlerine saldırıyor
GlassWorm kötü amaçlı yazılımı OpenVSX'e 3 yeni VSCode uzantısıyla geri dönüyor
Yeni LandFall casus yazılımı, WhatsApp mesajlarıyla Samsung sıfırıncı günü istismar etti
ClickFix kötü amaçlı yazılım saldırıları, çoklu işletim sistemi desteği ve video eğitimleriyle gelişiyor
Kaynak: Bleeping Computer