2年前、「shanhai666」というアカウントが9つの悪意のあるNuGetパッケージをアップロードしました。これにより、複雑なソフトウェアサプライチェーン攻撃が開始されました。.
サプライチェーンセキュリティ企業Socketによると、これらのパッケージは合計9,488回ダウンロードされており、2027年8月と2028年11月に具体的なトリガーが設定されています。.
SocketのチームメンバーであるKush Pandyaは、合計12個のパッケージを公開したキャンペーンの背後にいる脅威アクターを発見しました。パッケージのうち9個には有害なルーチンが含まれており、3個は完全に機能する実装で、残りのパッケージを「信頼できる」ように偽装していました。
パンディア氏は、ハッカーが正規のライブラリと悪意のあるライブラリを併用し、通常のテスト中に異常が検出されないように開発者を騙してパッケージをインストールさせたと考えている。.
「正規の機能は、数千行の正規コードに埋め込まれた約20行の悪意のあるペイロードを隠蔽し、アクティブ化後もクラッシュがmatic 攻撃ではなくランダムなバグとして現れるため、発見を遅らせる」と彼は11月6日のレポートに記している。.
つの 特定dentされた 悪意のあるパッケージは、.NETアプリケーションで使用される3つの主要データベースプロバイダー(Microsoft SQL Server、PostgreSQL、SQLite)すべてに影響を与える可能性があります。そのうちの1つであるSharp7Extendは、製造およびプロセスオートメーションで使用される産業用PLCを特に標的としています。
ソケットの調査では、データベースが二重目的のサプライチェーン攻撃に対して脆弱であり、ソフトウェア開発と重要なインフラ運用を脅かす可能性があると指摘した。.
の中で最も危険なものと定義しました 悪意のあるパッケージ、Siemens S7 プログラマブル ロジック コントローラーと通信するための正規の Sharp7 ライブラリ .NET 実装のタイポスクワットである Sharp7Extend パッケージを、
信頼できる名前に「Extend」を付加することで、悪意のあるパッケージが、Sharp7の改良点を探している自動化エンジニアを「dentに」すり抜けてコードをインストールしてしまう可能性があります。このパッケージは、改変されていないSharp7ライブラリ全体を悪意のあるペイロードにバンドルしています。標準的なPLC通信は、テスト中は期待通りに動作しているように見えるかもしれませんが、埋め込まれたマルウェアは隠蔽されています。.
「Sharp7Extendは、即時のランダムプロセス終了とインストール後30~90分で始まるサイレント書き込み障害という2つの妨害メカニズムで産業用PLCを標的にしている」とセキュリティ研究者は述べた。.
悪意のあるパッケージは、C#拡張メソッドを使用して、元のコードを変更することなく、データベースおよびPLC操作に危険なコードを追加します。データベースパッケージの場合、コマンドタイプに.Exec()メソッドが追加され、Sharp7ExtendはS7Clientオブジェクトに.BeginTran()メソッドを追加します。.
拡張機能は、アプリケーションがPLCアクションまたはクエリを実行するたびにmaticに実行されます。トリガー日以降、マルウェアは1から100までの乱数を生成します。.
数値が80を超えると(実際に発生する確率は20%)、パッケージはProcess.GetCurrentProcess().Kill()を使用して実行中のプロセスを直ちに強制終了します。この場合、ネットワークの不安定性、ハードウェア障害、その他の「警告を発さない」システムエラーのように見える警告やログエントリは表示されずに、突然の終了が発生します。.
Sharp7Extendは、30~90分の猶予期間を設定するタイマーによる遅延書き込み破損も実装しています。猶予期間が過ぎると、ResFliter.fliter()と呼ばれるフィルターメソッドが、80%の確率で書き込み操作を暗黙的に失敗させます。.
影響を受けるメソッドには、WriteDBSingleByte、WriteDBSingleInt、WriteDBSingleDInt などがあります。操作は成功したように見えますが、実際には PLC にデータが書き込まれていません。.
タイマーは2027年8月から2028年11月まで設定
Socket Security のレポートによると、MCDbRepository など、キャンペーンの分岐点にある特定のデータベース中心のパッケージは、2027 年 8 月 8 日にペイロードを実行する予定です。SqlUnicornCore と SqlUnicornCoreTest は、2028 年 11 月 29 日にアクティブになる可能性があります。.
「この段階的なアプローチにより、脅威の攻撃者は、遅延起動型マルウェアが起動する前に被害者を集めるためのより長い時間を確保し、同時に産業用制御システムを直ちに混乱させる」とパンディア氏は説明した。.
Socketの調査により、「shanhai666」という名前とソースコードの一部は中国起源であることが判明しました。.
9月、サイバーセキュリティアナリストは、 脆弱性を悪用していた 。この攻撃には、リモートコマンド実行や検索エンジン最適化(SEO)詐欺に使用される悪質なIISモジュールが関与している。
