Вирусные пакеты NuGet нацелились на службы NET и Siemens PLC
В публичном репозитории .NET обнаружены девять вредоносных NuGet-пакетов, загруженных между 2023 и 2024 годами. Внутри — скрытые «архитектурные бомбы», которые должны активироваться через несколько лет, в августе 2027 и ноябре 2028 года, вызывая сбои приложений и вмешательство в промышленные процессы.
Все девять пакетов, выпущенные под одной учётной записью и скачанные около 9,500 раз до блокировки, выглядели безобидно — обычные .NET-библиотеки. Но в глубине кода исследователи нашли отложенные триггеры. После наступления заданной даты вредоносный код начинает изменять операции с базами данных, а в отдельных версиях — функции, связанные с програмируемыми логическими контролерами Siemens. При выполнении заражённого запроса существует около 20% вероятности, что приложение аварийно прекратит свою работу. Поскольку запуск отложен на несколько лет, компании, добавившие эти библиотеки в CI/CD-процессы или долгосрочные решения в 2024–2025 годах, могут даже не знать, что уже внедрили «спящий» бэкдор.
Атака основана на уязвимости самого процесса восстановления зависимостей NuGet в .NET. Разработчик добавляет безобидный на вид пакет, тот скачивается с nuget.org, кэшируется и при каждой сборке автоматически подгружается вместе с транзитивными зависимостями. Но в найденных вредоносных сборках присутствовал скрытый слой — логическая бомба с отложенным запуском, активирующаяся лишь по наступлении определённой даты и внедряющая разрушительные изменения в базу данных. По наблюдениям экспертов, некоторые из них использовали IL-weaving и post-restore-исполнение, как и в инцидентах цепочки поставок NuGet 2024 года, однако с более долгой задержкой — признак того, что злоумышленники стремились сделать код незаметным для аудиторов и тестовых окружений.
Риск охватывает всю цепочку сборки и деплоя. Любой build-agent/CI-runner, восстановивший заражённый NuGet-пакет, уже несёт в себе «логическую бомбу». В случае срабатывания триггера все сервисы, скомпилированные с этим пакетом, начнут испытывать краши и производить незаметные манипуляции с базой данных. На предприятиях это особенно опасно: .NET-система, связанная с промышленными контроллерами — например, Siemens S7-интеграции, столкнется с постоянными ошибками записи данных после 30–90-минутной задержки.
Так как в корпоративной среде .NET активно используется для backend-систем крипты, финтеха и DeFi, при добавлении к «бомбе» функционала утечки данных под угрозой окажутся конфиденциальные ключи и доступы: API-токены, точки управления кошельками, логины и пароли к БД. Аналитики отмечают, что выбор жертв точечный — пакеты нацелены на среду, где код живёт своей жизнью годами: агентные решения, корпоративные сервисы и технологические шлюзы.
Материалы на GNcrypto предоставляются исключительно в информационных целях и не являются финансовой рекомендацией. Мы стремимся публиковать точные и актуальные данные, однако не можем гарантировать их абсолютную достоверность, полноту или надёжность. GNcrypto не несёт ответственности за возможные ошибки, упущения или финансовые потери, возникшие вследствие использования данной информации. Все действия вы совершаете на свой страх и риск. Всегда проводите собственный анализ и консультируйтесь с профессионалами. Подробнее см. в наших страницах Условия, Политика конфиденциальности и Отказ от ответственности.
Статьи этого автора
