最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- セキュリティ企業Socketは、データベースや産業用制御システムを標的とし、2027年と2028年にアクティブ化するように設計された9つの悪意のあるNuGetパッケージを発見した。.
- 最も危険なパッケージである Sharp7Extend は、正規の Sharp7 ライブラリを模倣し、遅延妨害メカニズムを使用して Siemens PLC 環境に侵入します。.
- 捜査官らはまた、この攻撃を中国の攻撃者によるものと関連付け、数十年前の ASP.NET の脆弱性を悪用した関連する IIS サーバー攻撃を発見した。.
2年前、「shanhai666」というアカウントが9つの悪意のあるNuGetパッケージをアップロードしました。これにより、複雑なソフトウェアサプライチェーン攻撃が開始されました。.
サプライチェーンセキュリティ企業Socketによると、これらのパッケージは合計9,488回ダウンロードされており、2027年8月と2028年11月に具体的なトリガーが設定されています。.
SocketのチームメンバーであるKush Pandyaは、合計12個のパッケージを公開したキャンペーンの背後にいる脅威アクターを発見しました。パッケージのうち9個には有害なルーチンが含まれており、3個は完全に機能する実装で、残りのパッケージを「信頼できる」ように偽装していました。
パンディア氏は、ハッカーが正規のライブラリと悪意のあるライブラリを併用し、通常のテスト中に異常が検出されないように開発者を騙してパッケージをインストールさせたと考えている。.
「正規の機能は、数千行の正規コードに埋め込まれた約20行の悪意のあるペイロードを隠蔽し、アクティブ化後もクラッシュがmatic 攻撃ではなくランダムなバグとして現れるため、発見を遅らせる」と彼は11月6日のレポートに記している。.
正規のコードに潜む9つのNuGetの脅威
特定dentされたつの悪意のあるパッケージは、.NETアプリケーションで使用される3つの主要データベースプロバイダー(Microsoft SQL Server、PostgreSQL、SQLite)すべてに影響を与える可能性があります。そのうちの1つであるSharp7Extendは、製造およびプロセスオートメーションで使用される産業用PLCを特に標的としています。
ソケットの調査では、データベースが二重目的のサプライチェーン攻撃に対して脆弱であり、ソフトウェア開発と重要なインフラ運用を脅かす可能性があると指摘した。.
Pandya 氏は、Siemens S7 プログラマブル ロジック コントローラーと通信するための正規の Sharp7 ライブラリ .NET 実装のタイポスクワットである Sharp7Extend パッケージを、悪意のあるパッケージの中で最も危険なものと定義しました。
信頼できる名前に「Extend」を付加することで、悪意のあるパッケージが、Sharp7の改良点を探している自動化エンジニアを「dentに」すり抜けてコードをインストールしてしまう可能性があります。このパッケージは、改変されていないSharp7ライブラリ全体を悪意のあるペイロードにバンドルしています。標準的なPLC通信は、テスト中は期待通りに動作しているように見えるかもしれませんが、埋め込まれたマルウェアは隠蔽されています。.
「Sharp7Extendは、即時のランダムプロセス終了とインストール後30~90分で始まるサイレント書き込み障害という2つの妨害メカニズムで産業用PLCを標的にしている」とセキュリティ研究者は述べた。.
悪意のあるパッケージは、C#拡張メソッドを使用して、元のコードを変更することなく、データベースおよびPLC操作に危険なコードを追加します。データベースパッケージの場合、コマンドタイプに.Exec()メソッドが追加され、Sharp7ExtendはS7Clientオブジェクトに.BeginTran()メソッドを追加します。.
拡張機能は、アプリケーションがPLCアクションまたはクエリを実行するたびにmaticに実行されます。トリガー日以降、マルウェアは1から100までの乱数を生成します。.
数値が80を超えると(実際に発生する確率は20%)、パッケージはProcess.GetCurrentProcess().Kill()を使用して実行中のプロセスを直ちに強制終了します。この場合、ネットワークの不安定性、ハードウェア障害、その他の「警告を発さない」システムエラーのように見える警告やログエントリは表示されずに、突然の終了が発生します。.
Sharp7Extendは、30~90分の猶予期間を設定するタイマーによる遅延書き込み破損も実装しています。猶予期間が過ぎると、ResFliter.fliter()と呼ばれるフィルターメソッドが、80%の確率で書き込み操作を暗黙的に失敗させます。.
影響を受けるメソッドには、WriteDBSingleByte、WriteDBSingleInt、WriteDBSingleDInt などがあります。操作は成功したように見えますが、実際には PLC にデータが書き込まれていません。.
タイマーは2027年8月から2028年11月まで設定
Socket Security のレポートによると、MCDbRepository など、キャンペーンの分岐点にある特定のデータベース中心のパッケージは、2027 年 8 月 8 日にペイロードを実行する予定です。SqlUnicornCore と SqlUnicornCoreTest は、2028 年 11 月 29 日にアクティブになる可能性があります。.
「この段階的なアプローチにより、脅威の攻撃者は、遅延起動型マルウェアが起動する前に被害者を集めるためのより長い時間を確保し、同時に産業用制御システムを直ちに混乱させる」とパンディア氏は説明した。.
Socketの調査により、「shanhai666」という名前とソースコードの一部は中国起源であることが判明しました。.
9月、サイバーセキュリティアナリストは、 脆弱性を悪用していた 。この攻撃には、リモートコマンド実行や検索エンジン最適化(SEO)詐欺に使用される悪質なIISモジュールが関与している。
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
フローレンス・ムチャイ
フローレンスは過去6年間、暗号通貨、ゲーム、テクノロジー、AI関連のニュースを取材してきました。メルー科学技術大学でコンピュータ科学を、メルー科学技術大学で災害管理と国際外交を専攻した経験は、彼女に語学力、観察力、そして技術力を十分に備えさせています。フローレンスはVAPグループで勤務したほか、複数の暗号通貨メディアで編集者として活躍してきました。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)