Káros kódok a láthatáron
A NuGet egy népszerű, nyílt forráskódú csomagkezelő rendszer, amelynek segítségével a fejlesztők könnyen integrálhatnak kész .NET-könyvtárakat. Egy biztonsági cég, a Socket kilenc olyan csomagot talált, amelyek ártalmatlannak tűnnek, de rejtett kártékony kódot tartalmaznak. Ezeket egy „shanhai666” nevű fejlesztő töltötte fel. Az elhelyezett rosszindulatú kód főleg SQL Server-, PostgreSQL- és SQLite-adatbázisokat, illetve a Siemens S7 PLC-k vezérlésére használt Sharp7 könyvtárat támadja. Különösen veszélyes a „Sharp7Extend” nevű csomag, amely a népszerű Sharp7 nevét kihasználva állít csapdát a fejlesztőknek.
Veszélyes meglepetés 2028-ig
A kilenc csomag mindegyike csaknem teljes egészében (99%) legitim kódot tartalmaz, ám körülbelül 20 sornyi rejtett szabotázsfunkcióval. A káros kód minden adatbázis- vagy vezérlési műveletnél aktiválódhat, de csak akkor lép életbe, ha a rendszer dátuma egy előre beállított időpont utáni (2027. augusztus 8. és 2028. november 29. közötti) időpontra esik. Ha az időzítés egyezik, egy véletlenszerűség alapján a rendszer 20% eséllyel leállítja az érintett folyamatot.
A „Sharp7Extend” esetében még veszélyesebb a helyzet: a csomag vagy azonnal leállítja a vezérlést, vagy hosszabb késleltetés után veszi át az irányítást. A rendszer így akár 30–90 perces késleltetéssel tudja szabotálni a folyamatokat, tömeges hibákat és adatvesztést okozva – a vezérlők leállnak, a biztonsági rendszerek nem indulnak el, a gyártási paraméterek módosíthatatlanná válnak.
Védekezési lehetőségek
A káros csomagokat első körben már eltávolították, de közel 9500 letöltésük volt. A leghatékonyabb védekezés, ha minden fejlesztő és ipari üzem gyorsan ellenőrzi, hogy használták-e a felsorolt kilenc csomag bármelyikét. A kritikus ipari rendszerekben külön ellenőrizni kell a PLC-műveletek épségét, és naplózni minden szokatlan folyamatleállást vagy parancskimaradást.
Ha bármelyik veszélyes csomag jelen van, a kompromittálódás valószínű, és sürgős auditot igényel.
