Alerta: Sinalizadores de socket em pacotes NuGet maliciosos programados para ativação em 2027 e 2028
Pacotes NuGet comprometidos escondem bombas-relógio digitais—e o timer já está correndo.
Os hackers estão jogando longo: códigos maliciosos dormem em repositórios populares, aguardando triggers temporais para atacar sistemas despreparados. Quando 2027 e 2028 chegarem, a infraestrutura de desenvolvimento pode enfrentar um terremoto de explorações zero-day.
Enquanto isso, os VCs de segurança cibernética já devem estar esfregando as mãos—nada como um desastre iminente para inflar valuations de startups de threat detection. Afinal, medo vende melhor que SSL.
9 ameaças ocultas do NuGet em código legítimo
Os nove pacotes maliciosos identificados podem afetar os três principais provedores de banco de dados usados em aplicativos .NET: Microsoft SQL Server, PostgreSQL e SQLite. Um dos pacotes, Sharp7Extend, tem como alvo específico os PLCs industriais usados na fabricação e automação de processos dent
A pesquisa da Socket propôs que o banco de dados poderia ser vulnerável a um ataque de cadeia de suprimentos de dupla finalidade, ameaçando o desenvolvimento de software e as operações de infraestrutura crítica.
Pandya classificou o pacote Sharp7Extend como o mais perigoso dos pacotes maliciosos , sendo uma falsificação de nome (typosquat) da implementação legítima da biblioteca Sharp7 em .NET para comunicação com controladores lógicos programáveis Siemens S7.
Avaliação do pacote Sharp7Extend. Fonte: SocketAdicionar "Extend" ao nome confiável pode ajudar o pacote malicioso "aciddentally" a instalar código por meio de engenheiros de automação que buscam melhorias para o Sharp7. O pacote inclui a biblioteca Sharp7 completa e não modificada, juntamente com sua carga maliciosa. A comunicação padrão do PLC pode parecer funcionar como esperado durante os testes, mas o malware embutido está mascarado.
"O Sharp7Extend tem como alvo PLCs industriais com mecanismos duplos de sabotagem: encerramento aleatório imediato do processo e falhas silenciosas de gravação que começam de 30 a 90 minutos após a instalação", disse o pesquisador de segurança.
Os pacotes maliciosos usam métodos de extensão C# para adicionar código perigoso a operações de banco de dados e PLC sem alterar o código original. Para pacotes de banco de dados, um método .Exec() é adicionado aos tipos de comando, enquanto o Sharp7Extend adiciona um método .BeginTran() aos objetos S7Client.
As extensões são executadasmaticsempre que um aplicativo realiza uma ação ou consulta em um PLC. Após a data de ativação, o malware gera um número aleatório entre 1 e 100.
Se o número exceder 80, o que tem 20% de probabilidade de acontecer, o pacote encerra imediatamente o processo em execução usando Process.GetCurrentProcess().Kill(). O encerramento abrupto ocorre sem avisos ou entradas de log que possam ser confundidas com instabilidade de rede, falhas de hardware ou outros erros de sistema "não alarmantes".
O Sharp7Extend também implementa a corrupção de escrita retardada por meio de um temporizador que define um período de tolerância de 30 a 90 minutos. Após o período de tolerância, um método de filtro chamado ResFliter.fliter() começa a falhar silenciosamente as operações de escrita em 80% dos casos.
Os métodos afetados incluem WriteDBSingleByte, WriteDBSingleInt e WriteDBSingleDInt. As operações parecem ser bem-sucedidas, embora os dados não sejam efetivamente gravados no CLP.
Temporizador configurado para o período de agosto de 2027 a novembro de 2028.
O relatório da Socket Security afirmou que certos pacotes focados em bancos de dados, no encruzilhada da campanha, incluindo o MCDbRepository, estão programados para executar sua carga útil em 8 de agosto de 2027. O SqlUnicornCore e o SqlUnicornCoreTest provavelmente entrarão em ação em 29 de novembro de 2028.
“Essa abordagem escalonada oferece ao agente da ameaça uma janela maior para coletar vítimas antes que o malware de ativação retardada seja acionado, enquanto interrompe imediatamente os sistemas de controle industrial”, explicou Pandya.
A investigação da Socket descobriu que o nome “shanhai666” e partes do código-fonte são de origem chinesa.
Em setembro, analistas de cibersegurança descobriram um código em servidores do Microsoft Internet Information Services (IIS) que explorava vulnerabilidades desde 2003. A operação envolve módulos maliciosos do IIS usados para execução remota de comandos e fraude em otimização de mecanismos de busca (SEO).
Ganhe US$ 50 grátis para negociar criptomoedas ao se inscrever no Bybit agora
