2년 전, "shanhai666"이라는 이름의 계정이 악성 NuGet 패키지 9개를 업로드했습니다. 이로 인해 복잡한 소프트웨어 공급망 공격이 시작되었습니다.
공급망 보안 업체인 Socket에 따르면 해당 패키지들은 총 9,488회 다운로드되었습니다. 또한, 2027년 8월과 2028년 11월에 특정 트리거가 설정되어 있습니다.
Socket 팀원인 쿠시 판디아는 총 12개의 패키지를 게시한 공격자를 발견했습니다. 이 중 9개 패키지에는 악성 루틴이 포함되어 있으며, 나머지 3개는 "신뢰할 수 있는" 패키지로 위장한 완전한 기능을 갖춘 구현체입니다
판디아는 해커가 개발자들이 일상적인 테스트 중에 이상 징후를 감지하지 못하고 패키지를 설치하도록 속이기 위해 합법적인 라이브러리와 악성 라이브러리를 함께 사용했다고 믿습니다.
그는 11월 6일 보고서에서 "정상적인 기능처럼 보이는 것이 수천 줄의 정상 코드 속에 숨겨진 약 20줄의 악성 페이로드를 감추고 있으며, 활성화된 후에도 충돌이matic 공격이 아닌 무작위 버그처럼 보이기 때문에 발견을 지연시킨다"고 썼다.
9개의 확인dent악성 패키지는 .NET 애플리케이션에서 사용되는 세 가지 주요 데이터베이스 공급자(Microsoft SQL Server, PostgreSQL 및 SQLite) 모두에 영향을 미칠 수 있습니다. 특히 Sharp7Extend라는 패키지는 제조 및 공정 자동화에 사용되는 산업용 PLC를 표적으로 삼습니다.
Socket의 연구는 해당 데이터베이스가 소프트웨어 개발과 중요 인프라 운영을 위협하는 이중 목적의 공급망 공격에 취약할 수 있다고 주장했습니다.
중 가장 위험한 것으로 지목했는데 악성 패키지, 이는 지멘스 S7 프로그래머블 로직 컨트롤러와 통신하기 위한 정식 Sharp7 라이브러리 .NET 구현을 오용한 것이기 때문입니다.
신뢰할 수 있는 이름에 "Extend"를 추가하면 악성 패키지가 Sharp7 개선 사항을 찾는 자동화 엔지니어를 통해 "dent" 코드를 설치하는 데 도움이 될 수 있습니다. 이 패키지는 수정되지 않은 Sharp7 라이브러리 전체와 악성 페이로드를 함께 제공합니다. 테스트 중에는 표준 PLC 통신이 정상적으로 작동하는 것처럼 보일 수 있지만, 내장된 악성코드는 숨겨져 있습니다.
보안 연구원은 "Sharp7Extend는 두 가지 파괴 메커니즘을 통해 산업용 PLC를 공격합니다. 설치 후 30~90분 사이에 발생하는 즉각적인 무작위 프로세스 종료와 조용한 쓰기 오류입니다."라고 밝혔습니다.
악성 패키지는 C# 확장 메서드를 사용하여 원래 코드를 변경하지 않고 데이터베이스 및 PLC 작업에 위험한 코드를 추가합니다. 데이터베이스 패키지의 경우 명령 유형에 .Exec() 메서드가 추가되고, Sharp7Extend는 S7Client 개체에 .BeginTran() 메서드가 추가됩니다.
해당 확장 프로그램은 애플리케이션이 PLC 작업이나 쿼리를 수행할 때마다matic으로 실행됩니다. 지정된 트리거 날짜 이후에 악성 프로그램은 1에서 100 사이의 난수를 생성합니다.
만약 해당 숫자가 80을 초과하면(실제로 발생할 확률은 20%입니다), 패키지는 Process.GetCurrentProcess().Kill()을 사용하여 실행 중인 프로세스를 즉시 종료합니다. 그러면 경고나 로그 기록 없이 갑작스럽게 종료되므로 네트워크 불안정, 하드웨어 오류 또는 기타 "경고할 필요가 없는" 시스템 오류처럼 보일 수 있습니다.
Sharp7Extend는 30~90분의 유예 기간을 설정하는 타이머를 통해 지연된 쓰기 손상 방지 기능을 구현합니다. 유예 기간이 지나면 ResFliter.fliter()라는 필터 메서드가 쓰기 작업의 80%를 오류로 처리하기 시작합니다.
영향을 받는 메서드에는 WriteDBSingleByte, WriteDBSingleInt 및 WriteDBSingleDInt가 포함됩니다. 작업은 성공적으로 수행된 것처럼 보이지만 실제 데이터는 PLC에 기록되지 않습니다.
타이머는 2027년 8월부터 2028년 11월까지로 설정되었습니다
Socket Security의 보고서에 따르면, 이번 공격의 핵심에 있는 MCDbRepository를 포함한 특정 데이터베이스 관련 패키지들이 2027년 8월 8일에 페이로드를 실행할 예정이라고 합니다. SqlUnicornCore와 SqlUnicornCoreTest는 2028년 11월 29일에 활동을 시작할 가능성이 높습니다.
판디아는 "이러한 단계적 접근 방식은 공격자가 지연 활성화 악성코드가 작동하기 전에 피해자를 수집할 수 있는 더 긴 시간을 확보하는 동시에 산업 제어 시스템을 즉시 마비시킬 수 있게 해줍니다."라고 설명했습니다.
Socket의 조사 결과 "shanhai666"이라는 이름과 소스 코드의 일부가 중국어에서 유래한 것으로 밝혀졌습니다.
지난 9월, 사이버 보안 분석가들은 마이크로소프트의 인터넷 정보 서비스(IIS) 서버에서 취약점을 악용해 . 이 공격은 원격 명령 실행 및 검색 엔진 최적화(SEO) 사기에 사용되는 악성 IIS 모듈과 관련이 있습니다.
