Databases en industriële regelapparatuur doelwit van malafide NuGet-packages met timer

In dit artikel:

Onderzoekers van beveiligingsbedrijf Socket ontdekten negen malafide NuGet-packages van een ontwikkelaar die zich shanhai666 noemt. De pakketten bevatten grotendeels legitieme .NET-code, maar verbergen een kleine kwaadaardige payload van ongeveer twintig regels die pas op een vooraf ingestelde datum activeert — per package verschillend, tussen 8 augustus 2027 en 29 november 2028. De code wordt alleen geladen wanneer een applicatie een database-query of een taak naar een Siemens S7-PLC uitvoert.

Bij activatie genereert de payload een willekeurig getal van 1 tot 100; is dat hoger dan 80, dan beëindigt het de hostprocessen en veroorzaakt het een crash. Die willekeurige, conditionele sabotage lijkt bedoeld om storingen te laten lijken op netwerk- of hardwareproblemen en zo detectie te bemoeilijken. De malafide packages zijn inmiddels van NuGet verwijderd en voorzien van een waarschuwingsmelding.

Socket raadt organisaties aan aan te nemen dat systemen met deze packages mogelijk gecompromitteerd zijn en passende maatregelen te nemen (bijvoorbeeld afhankelijkheidsinventarisatie, forensische analyse, credential-rotatie, isolatie en herstel). Dergelijke supply-chain-achtige manipulaties benadrukken het risico voor databases en industriële besturingen.