Nove pacotes publicados no repositório NuGet entre 2023 e 2024 foram identificados com bombas lógicas capazes de sabotar bancos de dados e sistemas de controle industrial anos depois da instalação. A descoberta é da empresa de segurança de cadeia de suprimentos de software Socket.
Os artefatos, criados pelo usuário “shanhai666”, já somavam 9.488 downloads antes de serem removidos. O código malicioso é ativado em datas específicas: agosto de 2027 ou novembro de 2028, dependendo do pacote.
Pacotes comprometidos
Os nove itens contam com as últimas atualizações nas seguintes datas:
- MyDbRepository – 13 de maio de 2023
- MCDbRepository – 5 de junho de 2024
- Sharp7Extend – 14 de agosto de 2024
- SqlDbRepository – 24 de outubro de 2024
- SqlRepository – 25 de outubro de 2024
- SqlUnicornCoreTest – 26 de outubro de 2024
- SqlUnicornCore – 26 de outubro de 2024
- SqlUnicorn.Core – 27 de outubro de 2024
- SqlLiteRepository – 28 de outubro de 2024
Funcionamento do ataque
De acordo com o pesquisador de segurança Kush Pandya, os pacotes operam normalmente, o que ajuda a ganhar a confiança de desenvolvedores. No entanto, o código malicioso, embutido em métodos de extensão em C#, verifica a data do sistema e executa ações de sabotagem quando o gatilho é alcançado.
Quando ativado, o malware encerra o processo da aplicação com 20% de probabilidade. No pacote Sharp7Extend, direcionado a controladores lógicos programáveis Siemens S7, o ataque começa imediatamente após a instalação e dura até 6 de junho de 2028. Além de possíveis desligamentos, há sabotagem de operações de escrita no PLC em 80% das tentativas, após um atraso aleatório de 30 a 90 minutos.
Para bancos de dados SQL Server, PostgreSQL e SQLite presentes nos demais pacotes, as ativações estão programadas para 8 de agosto de 2027 (MCDbRepository) e 29 de novembro de 2028 (SqlUnicornCoreTest e SqlUnicornCore).
Imagem: Internet
Alcance e autoria
Ao todo, o autor publicou 12 pacotes no NuGet; três deles não apresentaram código malicioso. A análise de nomes e trechos de código leva a crer que o operador pode ter origem chinesa, mas a identidade permanece desconhecida.
A distribuição escalonada dos gatilhos e a execução probabilística dificultam a detecção. Segundo a Socket, incidentes ocorridos entre 2027 e 2028 podem ser interpretados como falhas aleatórias de software ou hardware, tornando a investigação forense quase impossível.
Com informações de The Hacker News
