详细内容或原文请订阅后点击阅览
网络犯罪分子在工业 .NET 扩展中植入破坏性定时炸弹恶意软件
神秘攻击者多年等待的破坏即将结束安全专家帮助删除了 2023 年植入的恶意 NuGet 软件包,这些软件包旨在提前数年破坏系统,其中一些有效负载要到本十年后半叶才会受到攻击。
来源:The Register _恶意软件安全专家已帮助删除 2023 年植入的恶意 NuGet 软件包,这些软件包旨在提前几年破坏系统,其中一些有效负载要到本十年后半叶才会受到攻击。
Socket 的研究人员在 .NET 包管理器上发现了 9 个恶意包,其中包含因 2027 年至 2028 年触发而产生的破坏性代码,其中一个影响“制造环境中的安全关键系统”。
NuGet用户shanhai666在2023年至2024年间发布的12个软件包中,有9个包含恶意代码,下载量近万次。
值得注意的是,这些软件包由真正有用的代码组成,用于合法目的。 Socket 的安全工程师 Kush Pandya 表示,这些软件包中 99% 的代码都是良性的,可以充当信任构建者。
他写道:“这种合法功能有多种用途:它可以在软件包按照宣传的方式工作时建立信任,通过代码审查,审查者可以看到熟悉的模式和真实的实现,提供鼓励采用的实际价值,掩盖隐藏在数千行合法代码中的约 20 行恶意负载,并延迟发现,因为即使在激活后,崩溃也显示为随机错误而不是系统攻击。”
写了其中一些包针对主要数据库提供商(SQL Server、PostgreSQL 和 SQLite)。在触发日期(设定的未来几年)之后,查询数据库的用户将有 20% 的概率终止主机应用程序进程。
Pandya 表示,九个软件包中最具破坏性的 Sharp7Extend 目标是通常用于制造业的西门子 S7 可编程逻辑控制器 (PLC)。
可编程逻辑控制器西门子在 PLC 领域占据着巨大的市场份额,其中一些公司占据了 15-20% 的市场份额,其 S7 产品是使用最广泛的产品之一。
报告 SQL Server PostgreSQL SQLite 制造 医疗保健 电子商务