Bezpečnostní tým Socket odhalil kampaň devíti škodlivých balíčků v registru NuGet, které jsou navržené tak, aby se chovaly jako „časované bomby“. Část z nich cílí na databázové aplikace a škodlivý kód v nich má zůstat uspán až do let 2027 a 2028. Nejvážnější případ ale míří přímo na průmysl: balíček Sharp7Extend útočí na prostředí, kde se komunikuje se Siemens S7 PLC – tedy s řídicími automaty, které ve výrobě, energetice nebo logistice přímo ovládají fyzické procesy.
Sharp7Extend je typický typosquat: snaží se splést vývojáře, kteří hledají legitimní knihovnu Sharp7. Aby prošel základním testováním, obsahuje v sobě skutečnou (nemodifikovanou) Sharp7 implementaci, takže na první pohled funguje „normálně“. Pod povrchem ale přidává sabotážní logiku ve dvou vrstvách. První se spouští hned a způsobuje náhodné pády aplikace přibližně v pětině případů, kdy program komunikuje s PLC. Druhá část je ještě zákeřnější: po „ochranné době“ 30 až 90 minut po instalaci začne potichu selhávat zhruba 80 % operací zápisu do PLC. Výsledkem je situace, kdy aplikace může vypadat, že příkaz úspěšně odeslala, ale ve skutečnosti se v PLC nic nezmění – a to je přesně ten typ problému, který v průmyslu dokáže způsobit řetězové chyby, nekonzistenci dat a v krajním případě i bezpečnostní rizika.
Celá kampaň podle zjištění nasbírala téměř 9 500 stažení a autor vystupující jako „shanhai666“ se snažil působit důvěryhodně: balíčky mají být z velké části funkční a škodlivé části jsou schované v rozsáhlém „legitimním“ kódu. Aktivace je navíc navržená tak, aby se špatně vysvětlovala – náhodné pády a zpožděné projevy vypadají jako běžné, přerušované bugy. A když se problém projeví až o roky později, dohledání původní závislosti bývá prakticky noční můra.
Zdroj: DeveloperTech News