Dokuz kötü amaçlı NuGet paketinden oluşan bir grubun, veritabanı işlemlerini sabote etmek ve endüstriyel kontrol sistemlerini bozmak için zaman gecikmeli yükleri bırakma kapasitesine sahip olduğu belirlendi.
Yazılım tedarik zinciri güvenlik şirketi Socket’e göre paketler, “shanhai666” adlı bir kullanıcı tarafından 2023 ve 2024 yıllarında yayınlandı ve Ağustos 2027 ile Kasım 2028’deki belirli tetikleme tarihlerinden sonra kötü amaçlı kod çalıştıracak şekilde tasarlandı. Paketler toplu olarak 9.488 kez indirildi.
Güvenlik araştırmacısı Kush Pandya, “En tehlikeli paket olan Sharp7Extend, ikili sabotaj mekanizmalarına sahip endüstriyel PLC’leri hedef alıyor: anlık rastgele işlem sonlandırması ve kurulumdan 30-90 dakika sonra başlayan, üretim ortamlarındaki güvenlik açısından kritik sistemleri etkileyen sessiz yazma hataları.”
Kötü amaçlı paketlerin listesi aşağıdadır –
- MyDbRepository (Son güncelleme tarihi: 13 Mayıs 2023)
- MCDbRepository (Son güncelleme tarihi: 5 Haziran 2024)
- Sharp7Extend (Son güncelleme tarihi: 14 Ağustos 2024)
- SqlDbRepository (Son güncelleme tarihi: 24 Ekim 2024)
- SqlRepository (Son güncelleme tarihi: 25 Ekim 2024)
- SqlUnicornCoreTest (Son güncelleme tarihi: 26 Ekim 2024)
- SqlUnicornCore (Son güncelleme tarihi: 26 Ekim 2024)
- SqlUnicorn.Core (Son güncelleme tarihi: 27 Ekim 2024)
- SqlLiteRepository (Son güncelleme tarihi: 28 Ekim 2024)
Socket, dokuz hileli paketin tamamının reklamı yapıldığı gibi çalıştığını ve tehdit aktörlerinin, gelecekte patlaması planlanan bir mantık bombası ile gömülü olarak geldiklerini fark etmeden bunları indirebilecek alt geliştiriciler arasında güven oluşturmalarına olanak tanıdığını söyledi.
Tehdit aktörünün toplam 12 paket yayınladığı ve geri kalan üçünün herhangi bir kötü amaçlı işlevsellik olmaksızın amaçlandığı şekilde çalıştığı tespit edildi. Bunların tümü NuGet’ten kaldırıldı. Şirket, Sharp7Extend’in, Siemens S7 programlanabilir mantık denetleyicileri (PLC’ler) ile iletişim kurmaya yönelik bir .NET uygulaması olan meşru Sharp7 kitaplığının kullanıcılarını hedeflemek üzere tasarlandığını ekledi.
Sharp7’yi NuGet paketine dahil etmek ona sahte bir güvenlik hissi verirken, bir uygulama C# uzantı yöntemlerinden yararlanarak bir veritabanı sorgusu veya PLC işlemi gerçekleştirdiğinde kitaplığın gizlice kötü amaçlı kod enjekte ettiği gerçeğini gizler.
Pandya, “Uzantı yöntemleri, geliştiricilerin orijinal kodu değiştirmeden mevcut türlere yeni yöntemler eklemesine olanak tanır; bu, tehdit aktörünün müdahale için silah haline getirdiği güçlü bir C# özelliğidir” diye açıkladı. “Bir uygulama her veri tabanı sorgusu veya PLC işlemini yürüttüğünde, bu uzantı yöntemleri otomatik olarak yürütülür ve geçerli tarihi tetikleme tarihleriyle karşılaştırır (çoğu pakette sabit kodlanmıştır, Sharp7Extend’de şifrelenmiş yapılandırmadır).
Tetikleme tarihi geçildiğinde, kötü amaçlı yazılım %20 olasılıkla tüm başvuru sürecini sonlandırıyor. Sharp7Extend durumunda, kötü amaçlı mantık kurulumun hemen ardından devreye giriyor ve sonlandırma mekanizmasının kendi kendine durduğu 6 Haziran 2028 tarihine kadar devam ediyor.
Paket ayrıca, 30 ila 90 dakika arasında herhangi bir rastgele gecikmeden sonra PLC’ye yazma işlemlerini %80 oranında sabote etme özelliğini de içerir. Bu aynı zamanda, her iki tetikleyicinin de (rastgele işlem sonlandırmaları ve yazma hataları) yetkisiz kullanım süresi sona erdiğinde birlikte çalışır durumda olduğu anlamına gelir.
Diğer paketlerle ilişkili belirli SQL Server, PostgreSQL ve SQLite uygulamaları ise 8 Ağustos 2027 (MCDbRepository) ve 29 Kasım 2028’de (SqlUnicornCoreTest ve SqlUnicornCore) tetiklenecek şekilde ayarlanmıştır.
Pandya, “Bu kademeli yaklaşım, tehdit aktörüne, gecikmeli etkinleşen kötü amaçlı yazılım tetiklemelerinden önce kurbanları toplamak için daha uzun bir pencere verirken endüstriyel kontrol sistemlerini anında bozuyor” dedi.
Şu anda tedarik zinciri saldırısının arkasında kimin olduğu bilinmiyor ancak Socket, kaynak kod analizi ve “shanhai666” adının seçilmesinin bunun muhtemelen Çin kökenli bir tehdit aktörünün işi olabileceğini öne sürdüğünü söyledi.
Şirket, “Bu kampanya, NuGet tedarik zinciri saldırılarında nadiren bir araya getirilen karmaşık teknikleri gösteriyor” dedi. “2024’te paket yükleyen geliştiriciler, veritabanı kötü amaçlı yazılım tetiklendiğinde ve %20 olasılığa dayalı uygulama sistematik saldırıları rastgele çökmeler veya donanım arızaları olarak gizlediğinde 2027-2028 yılına kadar başka projelere veya şirketlere taşınmış olacaklar.”
“Bu, olay müdahalesini ve adli soruşturmayı neredeyse imkansız hale getiriyor; kuruluşlar, kötü amaçlı yazılımı giriş noktasına kadar izleyemiyor, tehlikeye atılan bağımlılığı kimin kurduğunu belirleyemiyor veya açık bir uzlaşma zaman çizelgesi oluşturarak saldırının kağıt izini etkili bir şekilde siliyor.”