Hace dos años, una cuenta con el nombre “shanhai666” subió nueve paquetes NuGet maliciosos. Esto desencadenó un complejo ataque a la cadena de suministro de software.
Según Socket, empresa especializada en seguridad de la cadena de suministro, los paquetes se han descargado un total de 9488 veces. Además, se han programado activaciones específicas para agosto de 2027 y noviembre de 2028.
Kush Pandya, miembro del equipo de Socket, descubrió al actor malicioso responsable de la campaña que publicó un total de 12 paquetes. Nueve de los paquetes contienen rutinas dañinas, mientras que tres son implementaciones completamente funcionales que disfrazan al resto como "creíbles".
Pandya cree que el hacker utilizó bibliotecas legítimas junto con las maliciosas para engañar a los desarrolladores e instalar los paquetes sin detectar anomalías durante las pruebas rutinarias.
“La funcionalidad legítima enmascara la carga maliciosa de unas 20 líneas enterrada en miles de líneas de código legítimo y retrasa su detección, ya que incluso después de la activación, los fallos aparecen como errores aleatorios en lugar de ataquesmatic ”, escribió en un informe del 6 de noviembre.
9 amenazas ocultas de NuGet en código legítimo
Los nueve identificados los dent procesos.
La investigación de Socket planteó que la base de datos podría ser vulnerable a un ataque de doble propósito a la cadena de suministro, que amenazaría el desarrollo de software y las operaciones de infraestructura crítica.
Pandya acuñó el término Sharp7Extend como el más peligroso de los paquetes maliciosos , siendo una typosquating de la implementación legítima de la biblioteca Sharp7 para .NET, utilizada para comunicarse con los controladores lógicos programables Siemens S7.
Evaluación del paquete Sharp7Extend. Fuente: Socket
Agregar «Extend» al nombre de confianza podría facilitar la instalacióndentde código malicioso por parte de ingenieros de automatización que buscan mejoras para Sharp7. El paquete incluye la biblioteca completa de Sharp7 sin modificar junto con su carga útil maliciosa. Durante las pruebas, la comunicación estándar del PLC puede parecer funcionar correctamente, pero el malware integrado está oculto.
“Sharp7Extend ataca los PLC industriales con mecanismos de sabotaje duales: terminación aleatoria inmediata del proceso y fallos de escritura silenciosos que comienzan entre 30 y 90 minutos después de la instalación”, dijo el investigador de seguridad.
Los paquetes maliciosos utilizan métodos de extensión de C# para añadir código peligroso a las operaciones de bases de datos y PLC sin modificar el código original. En el caso de los paquetes de bases de datos, se añade un método `.Exec()` a los tipos de comandos, mientras que Sharp7Extend añade un método `.BeginTran()` a los objetos `S7Client`.
Las extensiones se ejecutanmaticcada vez que una aplicación realiza una acción o consulta en el PLC. Tras la fecha de activación, el malware genera un número aleatorio entre 1 y 100.
Si el número supera 80, lo cual ocurre con un 20% de probabilidad, el paquete finaliza inmediatamente el proceso en ejecución mediante `Process.GetCurrentProcess().Kill()`. La finalización abrupta se produce sin advertencias ni entradas en el registro que pudieran confundirse con inestabilidad de la red, fallos de hardware u otros errores del sistema aparentemente insignificantes.
Sharp7Extend también implementa la protección contra la corrupción de escritura mediante un temporizador que establece un período de gracia de 30 a 90 minutos. Tras este período, un método de filtrado llamado ResFliter.filter() comienza a generar silenciosamente fallos en las operaciones de escritura en el 80 % de los casos.
Los métodos afectados incluyen WriteDBSingleByte, WriteDBSingleInt y WriteDBSingleDInt. Las operaciones parecen completarse correctamente, aunque en realidad no se escriben datos en el PLC.
Temporizador configurado de agosto de 2027 a noviembre de 2028
El informe de seguridad de sockets indicó que ciertos paquetes centrados en bases de datos en la encrucijada de la campaña, incluido MCDbRepository, están programados para ejecutar su carga útil el 8 de agosto de 2027. Es probable que SqlUnicornCore y SqlUnicornCoreTest se activen el 29 de noviembre de 2028.
“Este enfoque escalonado le da al atacante un margen de tiempo mayor para captar víctimas antes de que se active el malware de activación retardada, al tiempo que interrumpe de inmediato los sistemas de control industrial”, explicó Pandya.
La investigación de Socket descubrió que el nombre “shanhai666” y partes del código fuente son de origen chino.
En septiembre, analistas de ciberseguridad descubrieron código en servidores de Microsoft Internet Information Services (IIS) que había estado explotando vulnerabilidades desde 2003. La operación involucra módulos maliciosos de IIS utilizados para la ejecución remota de comandos y el fraude de optimización de motores de búsqueda (SEO).
Reclama tu asiento gratuito en una comunidad exclusiva de comercio de criptomonedas , limitada a 1000 miembros.
