详细内容或原文请订阅后点击阅览
九个 NuGet 软件包通过延时有效负载扰乱数据库和工业系统
“shanhai666”的九个 NuGet 软件包可以部署延迟的有效负载来破坏数据库和工业系统。 Socket 的威胁研究团队发现了 9 个恶意 NuGet 软件包,由“shanhai666”在 2023 年至 2024 年期间发布,这些软件包可以部署延时负载来破坏数据库和工业控制系统。这些套餐计划于 2027 年 8 月和 2028 年 11 月触发,[...]
来源:Security Affairs _恶意软件九个 NuGet 软件包通过延时有效负载扰乱数据库和工业系统
皮耶路易吉·帕格尼尼 2025 年 11 月 10 日“shanhai666”的九个 NuGet 软件包可以部署延迟的有效负载来破坏数据库和工业系统。
Socket 的威胁研究团队发现了 9 个恶意 NuGet 软件包,由“shanhai666”在 2023 年至 2024 年期间发布,这些软件包可以部署延时负载来破坏数据库和工业控制系统。据供应链安全公司 Socket 称,这些软件包计划于 2027 年 8 月和 2028 年 11 月触发,下载次数为 9,488 次。
shanhai666据研究人员称,Sharp7Extend 是针对具有双重破坏机制的工业 PLC 的最危险的软件包。
锐利7扩展
“最危险的软件包,Sharp7Extend,针对具有双重破坏机制的工业 PLC:立即随机进程终止和安装后 30-90 分钟开始的静默写入故障,影响制造环境中的安全关键系统。”阅读Socket发布的报告。
报告Socket 于 2025 年 11 月 5 日与 NuGet 分享了其发现;该平台确认了调查和删除工作。
几乎每个恶意软件包 (99%) 都包含功能齐全的代码,其执行方式与广告中所宣传的一样。
以下是恶意软件包列表:
恶意软件包通过名为 Sharp7Extend 的拼写错误攻击 SQL Server、PostgreSQL、SQLite 和工业 PLC,该恶意软件将正版 Sharp7 库与隐藏的恶意软件捆绑在一起以逃避检测。 Socket 的 AI 扫描仪标记了 Sharp7Extend。该恶意软件利用 C# 扩展方法(.Exec 和 .BeginTran)来拦截操作、检查硬编码或加密的触发日期,一旦触发通过,它就会以 20% 的概率终止进程。触发器是交错的:一个 SQL Server 版本于 2027 年 8 月 8 日激活;其他数据库构建将于 2028 年 11 月 29 日激活; Sharp7Extend 立即激活并运行至 2028 年 6 月 6 日,最大限度地提高隐蔽性和潜在影响。