VietNetwork.Vn

Một bộ chín gói NuGet độc hại đã được xác định là có khả năng thả các tải trọng bị trì hoãn thời gian để phá hoại hoạt động cơ sở dữ liệu và làm hỏng các hệ thống điều khiển công nghiệp.

Theo công ty bảo mật chuỗi cung ứng phần mềm Socket, các gói phần mềm này được một người dùng có tên " shanhai666 " phát hành vào năm 2023 và 2024 và được thiết kế để chạy mã độc sau các ngày kích hoạt cụ thể vào tháng 8 năm 2027 và tháng 11 năm 2028. Các gói phần mềm này đã được tải xuống tổng cộng 9.488 lần.


Nhà nghiên cứu bảo mật Kush Pandya cho biết : "Gói phần mềm nguy hiểm nhất, Sharp7Extend, nhắm vào các PLC công nghiệp với cơ chế phá hoại kép: chấm dứt quy trình ngẫu nhiên ngay lập tức và lỗi ghi âm thầm bắt đầu sau 30-90 phút sau khi cài đặt, ảnh hưởng đến các hệ thống quan trọng về an toàn trong môi trường sản xuất".

Danh sách các gói độc hại như sau:

    MyDbRepository (Cập nhật lần cuối vào ngày 13 tháng 5 năm 2023)
    MCDbRepository (Cập nhật lần cuối vào ngày 5 tháng 6 năm 2024)
    Sharp7Extend (Cập nhật lần cuối vào ngày 14 tháng 8 năm 2024)
    SqlDbRepository (Cập nhật lần cuối vào ngày 24 tháng 10 năm 2024)
    SqlRepository (Cập nhật lần cuối vào ngày 25 tháng 10 năm 2024)
    SqlUnicornCoreTest (Cập nhật lần cuối vào ngày 26 tháng 10 năm 2024)
    SqlUnicornCore (Cập nhật lần cuối vào ngày 26 tháng 10 năm 2024)
    SqlUnicorn.Core (Cập nhật lần cuối vào ngày 27 tháng 10 năm 2024)
    SqlLiteRepository (Cập nhật lần cuối vào ngày 28 tháng 10 năm 2024)

Socket cho biết cả chín gói phần mềm độc hại đều hoạt động như quảng cáo, cho phép kẻ tấn công xây dựng lòng tin với các nhà phát triển hạ nguồn, những người có thể tải chúng xuống mà không nhận ra rằng chúng được nhúng một quả bom logic bên trong có khả năng phát nổ trong tương lai.

Tác nhân đe dọa này đã bị phát hiện đã phát hành tổng cộng 12 gói, trong đó ba gói còn lại hoạt động bình thường mà không có bất kỳ chức năng độc hại nào. Tất cả chúng đã bị xóa khỏi NuGet. Công ty cho biết thêm, Sharp7Extend được thiết kế để nhắm mục tiêu vào người dùng thư viện Sharp7 hợp pháp, một triển   Đăng nhập để xem liên kết để giao tiếp với bộ điều khiển logic lập trình (PLC) Siemens S7.

Trong khi việc đóng gói Sharp7 vào gói NuGet mang lại cảm giác an toàn sai lầm, thì thực tế là thư viện này sẽ lén lút chèn mã độc khi ứng dụng thực hiện truy vấn cơ sở dữ liệu hoặc hoạt động PLC bằng cách khai thác các phương thức mở rộng C# lại không đúng.


"Các phương thức mở rộng cho phép các nhà phát triển thêm phương thức mới vào các kiểu dữ liệu hiện có mà không cần sửa đổi mã gốc - một tính năng C# mạnh mẽ mà kẻ tấn công lợi dụng để chặn bắt", Pandya giải thích. "Mỗi khi một ứng dụng thực hiện truy vấn cơ sở dữ liệu hoặc thao tác PLC, các phương thức mở rộng này sẽ tự động thực thi, so sánh ngày hiện tại với ngày kích hoạt (được mã hóa cứng trong hầu hết các gói, cấu hình được mã hóa trong Sharp7Extend)."

Sau khi vượt qua ngày kích hoạt, phần mềm độc hại sẽ chấm dứt toàn bộ quy trình ứng dụng với xác suất 20%. Trong trường hợp của Sharp7Extend, logic độc hại được kích hoạt ngay sau khi cài đặt và tiếp tục cho đến ngày 6 tháng 6 năm 2028, khi cơ chế chấm dứt tự động dừng lại.

Gói này cũng bao gồm một tính năng cho phép phá hoại các hoạt động ghi vào PLC 80% thời gian sau một khoảng thời gian trễ ngẫu nhiên từ 30 đến 90 phút. Điều này cũng có nghĩa là cả hai yếu tố kích hoạt - chấm dứt quy trình ngẫu nhiên và lỗi ghi - đều hoạt động song song sau khi thời gian gia hạn kết thúc.

Mặt khác, một số triển khai SQL Server, PostgreSQL và SQLite liên quan đến các gói khác sẽ được kích hoạt vào ngày 8 tháng 8 năm 2027 (MCDbRepository) và ngày 29 tháng 11 năm 2028 (SqlUnicornCoreTest và SqlUnicornCore).

Pandya cho biết: "Cách tiếp cận theo từng giai đoạn này giúp kẻ tấn công có nhiều thời gian hơn để thu thập nạn nhân trước khi phần mềm độc hại kích hoạt chậm phát huy tác dụng, đồng thời ngay lập tức phá vỡ các hệ thống kiểm soát công nghiệp".

Hiện vẫn chưa biết ai đứng sau vụ tấn công chuỗi cung ứng này, nhưng Socket cho biết phân tích mã nguồn và việc lựa chọn tên "shanhai666" cho thấy đây có thể là hành động của một tác nhân đe dọa, có thể là người Trung Quốc.

"Chiến dịch này cho thấy các kỹ thuật tinh vi hiếm khi được kết hợp trong các cuộc tấn công chuỗi cung ứng NuGet", công ty kết luận. "Các nhà phát triển đã cài đặt các gói vào năm 2024 sẽ chuyển sang các dự án hoặc công ty khác vào năm 2027-2028 khi phần mềm độc hại cơ sở dữ liệu được kích hoạt, và việc thực thi theo xác suất 20% ngụy trang các cuộc tấn công có hệ thống thành sự cố ngẫu nhiên hoặc lỗi phần cứng."

"Điều này khiến cho việc ứng phó sự cố và điều tra pháp y gần như không thể thực hiện được, các tổ chức không thể truy vết phần mềm độc hại đến thời điểm xuất hiện, xác định ai đã cài đặt phần mềm phụ thuộc bị xâm phạm hoặc thiết lập mốc thời gian xâm phạm rõ ràng, về cơ bản là xóa bỏ dấu vết của cuộc tấn công."