Zainfekowane pakiety NuGet zagrażają NET i Siemens PLC
Badacze ujawnili serię dziewięciu pakietów NuGet, przesłanych do repozytorium .NET między 2023 a 2024 rokiem. Zawarte w nich „architektoniczne bomby” mają eksplodować dopiero w 2027 i 2028 roku, powodując błędy aplikacji i zakłócenia w automatyce przemysłowej.
Dziewięć zainfekowanych pakietów, wydanych z jednego konta i pobranych prawie 9500 razy przed ich blokadą, nie wzbudzało podejrzeń – wyglądały jak standardowe biblioteki .NET. Jednak głębsza analiza ujawniła obecność ukrytych, odroczonych wyzwalaczy. Po osiągnięciu zaprogramowanej daty kod zaczyna ingerować w operacje baz danych, a w niektórych wersjach także w funkcje sterowników Siemens PLC. Każde ich uruchomienie wiąże się z około 20% szansą na nieoczekiwane zakończenie działania aplikacji. Ponieważ aktywacja została zaplanowana na przyszłe lata, przedsiębiorstwa, które w latach 2024–2025 dodały te biblioteki do procesów CI/CD lub projektów długoterminowych, mogą nie być świadome, że już zaszczepiły w systemach „uśpione” zagrożenie.
Wektor ataku opiera się na słabości mechanizmu restore NuGet w środowisku .NET. Atakujący wrzuca pozornie benigny pakiet do nuget.org; zostaje on zbuforowany i przy każdej kompilacji wciągany wraz z zależnościami tranzytywnymi. W złośliwych сборках wykryto ukrytą warstwę — odroczony trigger (logiczną bombę), który po osiągnięciu określonej daty modyfikuje operacje na bazie danych, wprowadzając destrukcyjne zmiany. Analizy pokazują zastosowanie IL-weaving i wykonywania po restore (post-restore execution), podobnie jak w incydentach supply-chain NuGet z 2024 roku, jednak z dłuższą latencją — co ma ułatwić uniknięcie wykrycia w audytach i środowiskach testowych.
Zasięg ryzyka obejmuje każdy etap — od kompilacji po wdrożenie. Każdy build-agent czy CI-runner, który odtworzył zainfekowany pakiet NuGet, staje się nośnikiem ukrytej „bomby logicznej”. Po uruchomieniu wyzwalacza wszystkie powiązane z tym pakietem serwisy zaczynają się sypać lub dokonywać subtelnych manipulacji w bazie danych. W przedsiębiorstwach przemysłowych to szczególnie niebezpieczne: systemy .NET zintegrowane z kontrolerami Siemens S7 mogą po 30–90 minutach działania napotkać powtarzające się błędy zapisu i awarie komunikacji.
W świecie korporacyjnych backendów .NET, na których opierają się systemy kryptowalutowe, fintechowe i DeFi, każdy dodatkowy fragment kodu może stać się zagrożeniem. Jeśli „bomba” zostałaby rozbudowana o funkcję wycieku danych, ryzyko objęłoby klucze dostępu, tokeny API, punkty zarządzania portfelami, a nawet dane logowania do baz. Według analityków, nie jest to atak masowy — zainfekowane pakiety są tworzone z myślą o środowiskach, gdzie kod toczy własne, długie życie: w agentach systemowych, wewnętrznych usługach i korporacyjnych bramkach integracyjnych.
Treści publikowane na GNcrypto mają wyłącznie charakter informacyjny i nie stanowią porady finansowej. Dokładamy starań, aby informacje były rzetelne i aktualne, jednak nie gwarantujemy ich pełnej poprawności, kompletności ani niezawodności. GNcrypto nie ponosi odpowiedzialności za ewentualne błędy, pominięcia ani straty finansowe wynikające z polegania na tych treściach. Wszystkie działania podejmujesz na własne ryzyko. Zawsze prowadź własne badania i korzystaj z pomocy profesjonalistów. Szczegóły znajdziesz w naszych Warunkach, Polityce prywatności i Zastrzeżeniach.
Artykuły tego autora
