Programadores que utilizam o ecossistema .NET estão sob alerta máximo. Foram descobertos vários pacotes maliciosos no NuGet, o popular gestor de pacotes de código aberto, que contêm cargas destrutivas programadas para ativar apenas em 2027 e 2028. Os alvos são implementações de bases de dados e, de forma mais crítica, dispositivos de controlo industrial da Siemens.
A descoberta da "bomba-relógio"
A descoberta foi detalhada pelos investigadores da empresa de segurança de código Socket. A equipa identificou nove pacotes maliciosos, todos publicados sob o nome do programador "shanhai666".
Embora os pacotes já tenham sido removidos da plataforma NuGet, estes alcançaram quase 9.500 downloads antes de serem detetados, deixando um rasto de potenciais sistemas comprometidos que só revelarão o problema daqui a alguns anos.
Como funciona o ataque
O método utilizado pelos atacantes é particularmente engenhoso. Os pacotes contêm 99% de código legítimo e funcional, criando uma falsa sensação de segurança. Escondida no meio, encontra-se uma pequena carga maliciosa de apenas 20 linhas.
O malware explora os métodos de extensão C# para injetar de forma transparente a sua lógica nefasta sempre que a aplicação legítima realiza uma operação de base de dados ou de PLC.
O gatilho probabilístico
A verdadeira ameaça reside no seu mecanismo de ativação. O código malicioso verifica continuamente a data atual do sistema. Se a data estiver dentro do intervalo programado (entre 8 de agosto de 2027 e 29 de novembro de 2028), o malware ativa um gatilho.
Nesse momento, gera um número aleatório de 1 a 100. Se o número for superior a 80 (uma probabilidade de 20%), o código executa o comando Process.GetCurrentProcess().Kill(), terminando imediatamente o processo anfitrião. Para aplicações que dependem de ligações frequentes, isto resultaria numa paragem imediata e disruptiva das operações.
O perigo para sistemas industriais
O pacote considerado mais perigoso é o Sharp7Extend. Este pacote faz-se passar pela popular biblioteca legítima Sharp7, amplamente utilizada para a comunicação através de ethernet com PLCs (controladores lógicos programáveis) da Siemens. O nome "Extend" explora a tendência dos programadores procurarem extensões ou melhorias para a biblioteca original.
Este pacote específico inverte a lógica do gatilho: tem 20% de probabilidade de terminar imediatamente as comunicações PLC, um mecanismo que está programado para expirar a 6 de junho de 2028.
Pior ainda, o Sharp7Extend inclui um segundo método de sabotagem. Após um atraso de execução entre 30 e 90 minutos, as operações de escrita no PLC que passam pelo filtro têm 80% de probabilidade de serem corrompidas.
Como alerta o relatório da Socket, isto pode ter consequências graves no mundo real, resultando em atuadores que não recebem comandos, sistemas de segurança críticos que não são ativados ou parâmetros de produção que não são modificados.
Os pacotes maliciosos
Os nove pacotes maliciosos publicados pela "shanhai666" que deve verificar são: SqlUnicorn.Core, SqlDbRepository, SqlLiteRepository, SqlUnicornCoreTest, SqlUnicornCore, SqlRepository, MyDbRepository, MCDbRepository e Sharp7Extend.
As organizações que possam ter descarregado qualquer um destes pacotes são aconselhadas a auditar imediatamente os seus sistemas e assumir que estão comprometidas, verificando a integridade das operações de PLC e os registos dos sistemas de segurança.
Nenhum comentário
Seja o primeiro!