Вірусні пакети NuGet націлилися на служби NET і Siemens PLC
У публічному репозиторії .NET виявлено 9 шкідливих NuGet-пакетів, завантажених між 2023 і 2024 роками. Всередині — приховані «архітектурні бомби», які повинні активуватися через кілька років, в серпні 2027 і листопаді 2028 року, викликаючи збої додатків і втручання в промислові процеси.
Всі 9 пакетів, випущені під одним обліковим записом і завантажені близько 9500 разів до блокування, виглядали нешкідливо — звичайні .NET-бібліотеки. Але в глибині коду дослідники знайшли відкладені тригери. Після настання заданої дати шкідливий код починає змінювати операції з базами даних, а в окремих версіях — функції з програмованими логічними контролерами Siemens. При виконанні зараженого запиту існує близько 20% ймовірності, що додаток аварійно припинить свою роботу. Оскільки запуск відкладено на кілька років, компанії, які додали ці бібліотеки в CI/CD-процеси або довгострокові рішення в 2024–2025 роках, можуть навіть не знати, що вже впровадили «сплячий» бекдор.
Атака базується на вразливості самого процесу відновлення залежностей NuGet в .NET. Розробник додає нешкідливий на вигляд пакет, який завантажується з nuget.org, кешується і при кожній збірці автоматично завантажується разом з транзитивними залежностями. Але в знайдених шкідливих збірках був присутній прихований шар — логічна бомба з відкладеним запуском, що активується лише після настання певної дати і впроваджує руйнівні зміни в базу даних. За спостереженнями експертів, деякі з них використовували IL-weaving і post-restore-виконання, як і в інцидентах ланцюжка поставок NuGet 2024 року, проте з більш тривалою затримкою — ознака того, що зловмисники прагнули зробити код непомітним для аудиторів і тестових середовищ.
Ризик охоплює весь ланцюжок компіляції та розгортання. Будь-який build-agent/CI-runner, який відновив заражений NuGet-пакет, вже несе в собі «логічну бомбу». У разі спрацьовування тригера всі сервіси, скомпільовані з цим пакетом, почнуть зазнавати крашів і здійснювати непомітні маніпуляції з базою даних. На підприємствах це особливо небезпечно: .NET-система, пов’язана з промисловими контролерами — наприклад, Siemens S7-інтеграції, зіткнеться з постійними помилками запису даних після 30–90-хвилинної затримки.
Оскільки в корпоративному середовищі .NET активно використовується для backend-систем крипти, фінтеху та DeFi, при додаванні до «бомби» функціоналу витоку даних під загрозою опиняться конфіденційні ключі та доступи: API-токен, точки управління гаманцями, логіни та паролі до БД. Аналітики відзначають, що вибір жертв точковий — пакети націлені на середовище, де код живе своїм життям роками: агентні рішення, корпоративні сервіси та технологічні шлюзи.
Матеріали на GNcrypto надаються виключно з інформаційною метою і не є фінансовою порадою. Ми намагаємось забезпечувати точність та актуальність даних, однак не можемо гарантувати їхню повну достовірність чи надійність. GNcrypto не несе відповідальності за можливі помилки, упущення або фінансові збитки, що можуть виникнути внаслідок використання цієї інформації. Усі дії ви здійснюєте на власний ризик. Завжди проводьте власне дослідження та звертайтесь до фахівців. Детальніше дивіться на наших сторiнках Умови, Політика конфіденційності та Дисклеймер.
Статті цього автора
