10.11.2025

Девять вредоносных NuGet-пакетов: отложенные атаки на БД и ПЛК

Недавнее исследование компании Socket выявило кампанию, в которой злоумышленники загрузили в экосистему NuGet двенадцать пакетов: девять из них — вредоносные, три — легитимные. Такой подход повышает уровень доверия к автору и затрудняет обнаружение атаки — злоумышленники сочетают typosquatting и публикацию «нормальных» пакетов рядом с вредоносными компонентами.

Что именно обнаружено

Всего обнаружено двенадцать пакетов в NuGet: девять вредоносных и три легитимных.
Вредоносная логика реализована через методы расширения на языке C#, что позволяет встраивать новые методы в существующие типы без изменения исходного кода приложений.
Метаданные пакетов показывают намеренное расхождение в именах авторов; вредоносные предложения публиковались под псевдонимом shanhai666, создавая впечатление множества разработчиков.

Как работает вредоносное ПО

Злоумышленники используют возможности C# extension methods для внедрения вредоносной логики в операции с базой данных и программируемыми логическими контроллерами (ПЛК). Конкретные добавленные методы включают, в частности, .Exec() для типов команд базы данных и .BeginTran() для объектов S7Client. Это облегчает перехват и модификацию операций с базой данных и взаимодействий с ПЛК.

Механизм временной задержки активации

Ключевая характеристика кампании — использование отложенной активации вредоносных компонент. Активация некоторых реализаций запланирована на далёкие даты, что позволяет накапливать жертв до включения разрушительных функций.

Одна реализация, затрагивающая SQL Server, запланирована на запуск 8 августа 2027 года.
Другие реализации активируются 29 ноября 2028 года.
Пакет Sharp7Extend спроектирован иначе: он активируется сразу после установки и действует до 6 июня 2028 года, вызывая немедленные сбои в работе промышленных систем управления.

Sharp7Extend выделяется как особенно опасный из‑за реализации двойных вредоносных механизмов, которые могут нарушить работу различных отраслей промышленности.

Последствия для инфраструктуры и бизнеса

Поэтапная активация и наличие модуля, который срабатывает немедленно, создают комбинированную угрозу: злоумышленник может долгое время собирать цели и затем задействовать разрушительные компоненты. Последствия включают:

простои сайтов электронной коммерции;
нарушения критически важных систем здравоохранения;
сбой финансовых платформ;
остановку производственных операций и риски для технологической безопасности на промышленных объектах.

Тактика злоумышленников и соответствие MITRE

Кампания демонстрирует продуманную тактику маскировки: сочетание typosquatting, публикации легитимных пакетов рядом с вредоносными и использование псевдонимов в метаданных. Эта методика соответствует MITRE ATT&CK T1195.002 — компромиссам в цепочке поставок программного обеспечения (Supply Chain Compromise).

Выявленная схема подчёркивает необходимость повышенного контроля за пакетами в репозиториях и внимательности к неожиданным extension-методам, вмешивающимся в поведение баз данных и взаимодействие с ПЛК. Особое внимание стоит уделять пакетам с отложенной активацией и аномалиям в метаданных авторов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: