- Socket menemukan sembilan paket NuGet dengan sabotase tertunda yang menargetkan sistem kontrol industri
- Sharp7Extend dapat merusak PLC Siemens S7 dan membuat proses host crash secara acak
- Kode berbahaya aktif pada tahun 2027–2028; pengguna didesak untuk mengaudit dan menghapus paket yang terpengaruh
Ribuan organisasi infrastruktur penting, serta mereka yang bekerja di bidang lain yang sama pentingnya, menjadi sasaran serangan berbahaya yang berupaya menyabotase perangkat kendali industri (ICD) mereka dua tahun kemudian, demikian temuan para ahli.
Peneliti keamanan siber Socket baru-baru ini menemukan sembilan paket di NuGet yang berisi muatan sabotase yang akan diaktifkan pada tahun 2027 dan 2028, jika kondisi tertentu terpenuhi.
NuGet adalah manajer paket untuk .NET, menyediakan pustaka .NET sumber terbuka yang dapat dengan mudah diintegrasikan oleh pengembang perangkat lunak ke dalam proyek mereka.
Ribuan korban
Menurut Socket, paket tersebut menargetkan ketiga penyedia database utama yang digunakan dalam aplikasi .NET – SQL Server, PostgreSQL, dan SQLite, menambahkan bahwa yang paling berbahaya adalah Sharp7Extend. Paket ini menargetkan pengguna perpustakaan Sharp7.
“Dengan menambahkan “Extend” ke nama Sharp7 yang tepercaya, pelaku ancaman mengeksploitasi pengembang yang mencari ekstensi atau penyempurnaan Sharp7,” jelas Socket.
Akun yang menampungnya adalah shanhai666 dan, menurut BleepingComputersemua ini telah dihapus untuk sementara waktu. Sebelum hal itu terjadi, paket-paket tersebut berhasil memperoleh hampir 10.000 unduhan.
Meskipun hampir semua kode dalam paket (99%) bersih, kode 1% tersebut bisa berakibat fatal. Itu ditulis untuk dijalankan setiap kali aplikasi berbicara dengan database, atau PLC Siemens S7.
Perangkat kontrol industri Siemens S7 biasanya dapat ditemukan di pabrik manufaktur, energi dan utilitas, industri minyak, gas, dan kimia, otomasi bangunan, dan transportasi.
Payload dipicu hanya antara 8 Agustus 2027 dan 29 November 2028, dan melakukan dua hal yang merusak: mematikan proses host secara acak sebanyak 20% (menyebabkan penghentian langsung) dan, dalam paket Sharp7Extend, menghentikan inisialisasi dan/atau, setelah penundaan 90 menit, merusak perintah penulisan PLC dengan peluang 80%.
Siapa yang mengunggah paket-paket ini dan untuk tujuan apa, masih menjadi misteri. Pengguna disarankan untuk mengaudit aset mereka untuk paket tersebut dan segera menghapusnya.
Berikut daftar lengkap paket berbahaya yang ditemukan sejauh ini:
SqlUnicorn.Core
qlDbRepositori
Repositori SqlLite
SqlUnicornCoreTest
SqlUnicornCore
Repositori Sql
Repositori Db Saya
Repositori MCDb
Sharp7Perpanjang
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
