Исследовательская команда Socket сообщила об обнаружении девяти вредоносных пакетов NuGet с встроенной логикой отложенного срабатывания. Модуль саботажа активируется в строгом временном окне с августа 2027 года по ноябрь 2028 года и ориентирован на работу с базами данных в экосистеме .NET, а также на промышленную связь с ПЛК Siemens через библиотеку Sharp7.
Что именно обнаружили исследователи Socket
Все выявленные пакеты были опубликованы в 2023–2024 годах пользователем shanhai666. Всего им было выложено 12 пакетов, из которых девять содержали вредоносную функциональность, а остальные — нет. На момент выявления суммарное число загрузок приближалось к 9500. По данным Socket, пакеты удалены из NuGet, однако точное число проектов, куда они попали в качестве зависимостей, остается неизвестным.
Маскировка под легитимный код
Анализ показал, что вредоносные пакеты были тщательно замаскированы: до 99% кода обеспечивало ожидаемую функциональность, тогда как опасная логика была спрятана в небольшом фрагменте порядка 20 строк. Такой подход снижает вероятность детектирования статическими анализаторами и при беглом ревью кода.
Как работает отложенная активация
Целевые платформы: SQL Server, PostgreSQL, SQLite
Вредоносная логика внедрялась через методы-расширения C# в типовые операции работы с БД (SQL Server, PostgreSQL и SQLite) и взаимодействия с промышленными контроллерами. При каждом обращении выполнялась проверка системной даты на соответствие жестко заданным «триггерным» датам в диапазоне 08.08.2027–29.11.2028.
Если дата совпадала, запускался вероятностный механизм: генерировалось число от 1 до 100, и при значении свыше 80 выполнялась принудительная остановка процесса через Process.GetCurrentProcess().Kill() — то есть с шансом 20% процесс внезапно завершался, маскируясь под случайный сбой.
Особая опасность для ПЛК Siemens и Sharp7
Наибольшую обеспокоенность вызвал пакет Sharp7Extend, имитирующий расширение популярной библиотеки Sharp7, применяемой для Ethernet-коммуникаций с ПЛК Siemens. По оценке Socket, злоумышленники рассчитывали, что приставка «Extend» привлечет разработчиков, ищущих дополнительные возможности к доверенной библиотеке.
Сценарии саботажа
Отдельно для клиентов ПЛК Sharp7Extend реализует немедленное прерывание соединения с вероятностью 20% (до 06.06.2028). Кроме того, пакет:
- пытается прочитать отсутствующее конфигурационное значение, гарантированно ломая инициализацию;
- создает внутренний фильтр с задержкой 30–90 минут, после чего операции записи в ПЛК в 80% случаев подвергаются порче данных.
Такое сочетание «моментальной» и «отложенной» деструкции формирует многоуровневую атаку на цепочку поставок, способную повлиять на технологические процессы и безопасность ICS/OT-сред.
Почему это трудно заметить и расследовать
Отложенная активация через несколько лет и вероятностный характер срабатывания значительно усложняют детектирование и форензику. К моменту активации большинство разработчиков и команд, внедривших зависимости в 2024 году, могут уже сменить проекты или работодателей. В производственных средах такие сбои легко списать на «флуктуации» оборудования или редкие софтверные дефекты, что размывает следы компрометации и усложняет построение хронологии инцидента.
Рекомендации по снижению рисков в цепочке поставок ПО
Socket рекомендует немедленно проверить кодовую базу и артефакты сборки на наличие перечисленных пакетов; при обнаружении — рассматривать систему как компрометированную. Дополнительно целесообразно:
- выполнить инвентаризацию зависимостей и сформировать SBOM с привязкой к версиям;
- закреплять версии (pinning), использовать приватные фиды и зеркала, включать проверку целостности артефактов;
- пересмотреть политику ревью стороннего кода, уделяя внимание «методам-расширения» и сторонним хукам в критических путях;
- настроить поведенческий мониторинг и журналирование для неожиданных завершений процессов и аномалий в транзакциях БД/ПЛК;
- регулярно проводить ретроспективный анализ сборок и зависимостей, внедрить непрерывное сканирование на уровне CI/CD.
Обнаруженная кампания подтверждает растущую изощренность атак на экосистемы пакетов и критические ICS/OT-компоненты. Организациям стоит усилить контроль поставок ПО уже сейчас: пересмотреть зависимые библиотеки, обновить процессы обеспечения доверия к пакетам, автоматизировать сканирование и форензику. Чем раньше вы зафиксируете опорные «чистые» состояния, тем выше шансы быстро локализовать и нейтрализовать подобные «бомбы замедленного действия» в будущем.
