NuGet平臺現惡意包 暗藏破壞有效載荷

NuGet平臺出現多款惡意軟件包，內含定于2027年至2028年激活的破壞載荷，攻擊目標直指數據庫部署環境與西門子S7工業控制設備。這些嵌入的惡意代碼采用概率觸發機制，是否激活取決于受感染設備上的一系列參數配置。

NuGet是開源包管理器及軟件分發系統，開發者可通過它下載現成的.NET類庫并集成到自身項目中。

Socket的研究人員在NuGet上發現9款惡意包，均以“shanhai666”為開發者名稱發布，這些包表面具備合法功能，實則隱藏有害代碼。

這些惡意包“有針對性地瞄準.NET應用中常用的三大數據庫提供商（SQL Server、PostgreSQL、SQLite）”。其中最危險的是Sharp7Extend包——該包偽裝成用于與西門子可編程邏輯控制器（PLC）進行以太網通信的合法Sharp7類庫，專門針對其用戶發起攻擊。

Socket研究人員表示：“攻擊者在可信的Sharp7名稱后添加‘Extend’后綴，誘導那些搜索Sharp7擴展或增強功能的開發者下載。”

NuGet平臺上“shanhai666”賬號共列出12款包，其中9款包含惡意代碼，具體如下：

1. SqlUnicorn.Core

2. SqlDbRepository

3. SqlLiteRepository

4. SqlUnicornCoreTest

5. SqlUnicornCore

6. SqlRepository

7. MyDbRepository

8. MCDbRepository

9. Sharp7Extend

目前，該開發者賬號下已無相關包列出，但需注意的是，這些包下架時下載量已接近9500次。

暗藏“定時炸彈”

Socket研究人員指出，這些惡意包中99%為合法代碼，營造安全可信的假象，僅嵌入20行左右的惡意載荷。

Socket在本周發布的報告中解釋：“該惡意軟件利用C，將惡意邏輯隱秘注入每一次數據庫操作和PLC操作中。”

每當應用程序執行數據庫查詢或PLC操作時，這些擴展方法都會被觸發。同時，代碼會將受感染系統的當前日期與硬編碼的觸發日期（范圍為2027年8月8日至2028年11月29日）進行比對。

2028年 11 月觸發日期

若日期條件匹配，代碼會創建“Random”類生成1至100之間的隨機數，若數值大于80（觸發概率20%），則調用“Process.GetCurrentProcess().Kill()”函數，立即終止宿主進程。

對于頻繁調用事務或連接方法的典型PLC客戶端而言，這將導致運營操作立即中斷。

偽裝成合法Sharp7類庫（西門子S7 PLC常用的.NET通信層）的Sharp7Extend包則采用相反邏輯：在20%的情況下直接終止PLC通信，該機制將于2028年6月6日失效。

Sharp7Extend包還包含第二種破壞手段：代碼嘗試讀取不存在的配置值，導致初始化操作必然失敗。

第三種機制會為內部PLC操作創建過濾值，并設置30至90分鐘的載荷執行延遲。延遲結束后，經過該過濾器的PLC寫入操作有80%的概率被篡改，進而導致執行器無法接收指令、設定值無法更新、安全系統無法啟動、生產參數無法修改等嚴重后果。

損壞 PLC 寫入

Socket研究人員表示：“通過BeginTran()函數實現的隨機即時進程終止，與通過ResFliter實現的延遲寫入篡改相結合，構成了一套隨時間演進的復雜多層攻擊。”

目前這些惡意擴展的具體攻擊目標與來源尚不清楚，但建議可能受影響的機構立即核查資產是否安裝了上述9款包，若存在則需默認已遭入侵并采取應對措施。

對于運行Sharp7Extend包的工業環境，需核查PLC寫入操作的完整性、檢查安全系統日志中是否存在指令丟失或啟動失敗記錄，并為關鍵操作部署寫入驗證機制。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-drop-disruptive-time-bombs/