Güvenliği ihlal edilmiş .NET paketleri aracılığıyla endüstriyel kontrol sistemlerini hedef alan karmaşık bir tedarik zinciri saldırısı ortaya çıktı.
Tehdit ortamı, 5 Kasım 2025’te araştırmacıların, kritik altyapı ortamlarına yıkıcı yükler enjekte etmek üzere tasarlanmış dokuz kötü amaçlı NuGet paketini belirlemesiyle değişti.
2023 ile 2024 yılları arasında NuGet shanhai666 takma adı altında yayınlanan bu paketler, tespit edilmeden önce yaklaşık 9.500 indirme işlemi gerçekleştirerek dünya çapındaki üretim ortamlarında önemli bir yer edindi.
.webp)
Tehdit aktörü, meşru işlevsellik ile kötü niyetli niyet arasındaki çizgiyi bulanıklaştıran yenilikçi bir yaklaşım kullandı.
Her paket, veritabanı veri havuzu kalıpları, LINQ desteği, sayfalandırma yöntemleri ve eşzamansız işlemler de dahil olmak üzere reklamı yapılan özelliklerin eksiksiz, çalışan uygulamalarını sağlar.
Bu %99 işlevsel kod, etkili bir sis perdesi görevi görerek paketlerin kod incelemelerini geçmesine ve geliştiricinin güvenini oluşturmasına olanak tanırken, binlerce satırlık meşru uygulamanın içine gömülmüş yaklaşık 20 satırlık kötü amaçlı kodu gizler.
Strateji, paketlerin tam olarak reklamı yapıldığı gibi çalışmasını sağlayarak, benimsenmeyi teşvik eden ve kötü amaçlı yazılım etkinleştirildikten sonra bile keşfedilmeyi geciktiren gerçek değer sağlar.
En kritik paket olan Sharp7Extend, güvenlik açısından kritik sistemleri tehlikeye atmak üzere tasarlanmış ikili sabotaj mekanizmalarına sahip endüstriyel PLC’leri doğrudan hedef alır.
Bu paket, hem anında rastgele işlem sonlandırmasını hem de kurulumdan 30 ila 90 dakika sonra başlayan sessiz yazma hatalarını kullanır.
Üretim ortamları üzerindeki etkileri ciddi olup, potansiyel olarak aktüatörleri, ayar noktalarını ve güvenlik sistemi operasyonlarını etkileyebilir.
Soket güvenliği analistleri, paket davranış modellerini inceledikten ve uzantı yöntemlerine gömülü olasılıksal yürütme mantığını keşfettikten sonra kötü amaçlı yazılımı belirledi.
Saldırı metodolojisi
Saldırı metodolojisi, tedarik zinciri tehditlerinin karmaşıklığında temel bir değişimi temsil ediyor. Saldırgan, tamamen gizlemeye çalışmak yerine, veritabanı ve PLC işlemlerini şeffaf bir şekilde engelleyen C# uzantı yöntemlerinin içine kötü amaçlı mantık yerleştirdi.
Her veritabanı sorgusu veya PLC iletişim işlemi, mevcut tarihi Ağustos 2027’den Haziran 2028’e kadar sabit kodlanmış tetikleme tarihlerine göre kontrol eden bu yöntemleri otomatik olarak tetikler.
Kötü amaçlı yazılım tetiklendiğinde 1 ile 100 arasında rastgele bir sayı üretir. Bu sayı 80’i aşarsa %20 olasılıkla bir olay meydana gelir: Process.GetCurrentProcess().Kill() yürütülür ve tüm uygulamayı uyarı vermeden sonlandırır.
Sharp7Extend yazma işlemi sabotaj mekanizması, konfigürasyona dayalı kontrol olarak gizlenen yapılandırılabilir bir gecikme sistemi aracılığıyla çalışır.
Kurulumun ardından, tüm işlemlerin normal şekilde çalıştığı, rastgele 30 ila 90 dakikalık bir yetkisiz kullanım süresi etkinleştirilir ve ilk dağıtım testinin başarılı olmasına olanak sağlanır.
Bu pencere kapandığında, yazma işlemleri gerçek sonuçlar yerine sıfır döndürerek %80 oranında sessizce başarısız olur ve bariz hata mesajları olmadan veri bütünlüğü sorunları yaratır.
Kritik sistemleri kontrol etmek için PLC yazma işlemlerine dayanan endüstriyel ortamlar için bu, operasyonel süreklilik ve güvenlik açısından varoluşsal bir tehdit anlamına gelir. Bu saldırının psikolojik etkisi, anlık sistem arızasının ötesine uzanır.
Kademeli etkinleştirme pencereleri, 2024’te paket yükleyen geliştiricilerin, veritabanı kötü amaçlı yazılımlarının tetiklendiği 2027 yılına kadar farklı projelere veya şirketlere taşınacağı anlamına geliyor; bu da ilişkilendirme ve adli soruşturmayı neredeyse imkansız hale getiriyor.
Saatte yüzlerce sorgu çalıştıran üretim uygulamaları saniyeler içinde çökecek ve üretim ortamları, aralıklı donanım sorunlarını taklit eden birleşik süreç sonlandırma ve sessiz yazma hataları yaşayacaktır.
Kuruluşların bu dokuz kötü amaçlı pakete yönelik bağımlılıkları derhal denetlemesi ve birleştirmeden önce bağımlılık taraması uygulaması, özellikle zamana dayalı mantık, olasılıksal yürütme kalıpları ve endüstriyel kontrol kitaplıklarını hedef alan yazım hataları için izleme yapması gerekir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
