专家发现,数千个关键基础设施组织和其他同样重要的行业,遭受了一次阴险的攻击,试图在两年后破坏他们的工业控制系统(ICS)。

网络安全研究人员Socket最近在NuGet上发现了九个包,这些包中包含了将在2027年和2028年激活的破坏性有效载荷,前提是满足某些条件。

NuGet是.NET的包管理器,提供开源的.NET库,软件开发人员可以轻松地将其集成到自己的项目中。

数千个受害者

数千个受害者

根据Socket的说法,这些包针对所有三大主要数据库提供商,分别是SQL Server、PostgreSQL和SQLite,并指出,最危险的包是Sharp7Extend。该包针对Sharp7库的用户。

“通过在受信任的Sharp7名称后附加‘Extend’,威胁者利用开发人员搜索Sharp7扩展或增强的机会,”Socket解释道。

托管它们的账户是 shanhai666, 根据 BleepingComputer 的说法,这些软件包在此期间已被全部下架。在这之前,这些软件包的下载量几乎达到了 10,000 次。

虽然软件包中的几乎所有代码(99%)都是干净的,但那 1% 的代码可能会致命。这段代码是在应用程序与数据库或西门子 S7 PLC 通信时运行的。

西门子 S7 工业控制设备通常可以在制造工厂、能源和公用事业、石油、天然气和化工行业、建筑自动化和交通运输中找到。

有效载荷仅在 2027 年 8 月 8 日到 2028 年 11 月 29 日之间触发,并进行两项破坏性操作:有 20% 的概率随机终止主进程(导致立即停止),并且在 Sharp7Extend 软件包中,要么破坏初始化,要么在延迟 90 分钟后,有 80% 的概率损坏 PLC 写入命令。

谁上传了这些包以及目的何在,仍然是一个谜。建议用户对他们的资产进行审计,立即删除这些包。

以下是目前发现的恶意包完整列表:

包括:SqlUnicorn.Core

和 qlDbRepository

以下是一些与数据库相关的类:

  • SqlLiteRepository(SQLite 数据库仓库)
  • SqlUnicornCoreTest(SqlUnicorn 核心测试)
  • SqlUnicornCore(SqlUnicorn 核心)
  • SqlRepository(SQL 仓库)

我的数据库存储库

MCDb数据库库

Sharp7扩展模块