Az új NuGet-csapda: időzített bombák élesednek 2027-től
Több kártékony NuGet-csomag jelent meg, amelyek veszélyes, időzített szabotázskódot rejtenek magukban, és 2027-ben, illetve 2028-ban aktiválódhatnak. Ezek a csomagok különösen adatbázis-alkalmazásokat és Siemens S7 ipari vezérlőket céloznak.
Káros kódok a láthatáron
A NuGet egy népszerű, nyílt forráskódú csomagkezelő rendszer, amelynek segítségével a fejlesztők könnyen integrálhatnak kész .NET-könyvtárakat. Egy biztonsági cég, a Socket kilenc olyan csomagot talált, amelyek ártalmatlannak tűnnek, de rejtett kártékony kódot tartalmaznak. Ezeket egy „shanhai666” nevű fejlesztő töltötte fel. Az elhelyezett rosszindulatú kód főleg SQL Server-, PostgreSQL- és SQLite-adatbázisokat, illetve a Siemens S7 PLC-k vezérlésére használt Sharp7 könyvtárat támadja. Különösen veszélyes a „Sharp7Extend” nevű csomag, amely a népszerű Sharp7 nevét kihasználva állít csapdát a fejlesztőknek.
Veszélyes meglepetés 2028-ig
A kilenc csomag mindegyike csaknem teljes egészében (99%) legitim kódot tartalmaz, ám körülbelül 20 sornyi rejtett szabotázsfunkcióval. A káros kód minden adatbázis- vagy vezérlési műveletnél aktiválódhat, de csak akkor lép életbe, ha a rendszer dátuma egy előre beállított időpont utáni (2027. augusztus 8. és 2028. november 29. közötti) időpontra esik. Ha az időzítés egyezik, egy véletlenszerűség alapján a rendszer 20% eséllyel leállítja az érintett folyamatot.
A „Sharp7Extend” esetében még veszélyesebb a helyzet: a csomag vagy azonnal leállítja a vezérlést, vagy hosszabb késleltetés után veszi át az irányítást. A rendszer így akár 30–90 perces késleltetéssel tudja szabotálni a folyamatokat, tömeges hibákat és adatvesztést okozva – a vezérlők leállnak, a biztonsági rendszerek nem indulnak el, a gyártási paraméterek módosíthatatlanná válnak.
A káros csomagokat első körben már eltávolították, de közel 9500 letöltésük volt. A leghatékonyabb védekezés, ha minden fejlesztő és ipari üzem gyorsan ellenőrzi, hogy használták-e a felsorolt kilenc csomag bármelyikét. A kritikus ipari rendszerekben külön ellenőrizni kell a PLC-műveletek épségét, és naplózni minden szokatlan folyamatleállást vagy parancskimaradást.
Ha bármelyik veszélyes csomag jelen van, a kompromittálódás valószínű, és sürgős auditot igényel.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te hogyan védenéd meg az ipari rendszereket ilyen támadások ellen?
Mit tennél, ha észrevennél egy gyanús csomagot a projektedben?
Szerinted jó ötlet nyílt forráskódú csomagokat használni biztonságkritikus rendszerekben?
Felmerül a kérdés, hogy miféle rejtett csodákat őriznek még a Föld mély óceánjai, hiszen most először sikerült élő koboldcápát lencsevégre kapni a természetes élőhelyén...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Lively Letters – Phonics (iPhone/iPad)Ez az alkalmazás gyorsan elérte az első helyet a fizetős oktatási alkalmazások között az App Store-ban...
⚡ A Tensordyne bemutatta vadonatúj, Napier nevű MI-gyorsítóját, amely 3 nm-es technológián alapul, és különlegessége, hogy a szokásos szorzási műveleteket logaritmikus matematikával helyettesíti...
A Google Earth mostantól nemcsak a Föld felfedezését teszi lehetővé, hanem egy szórakoztató repülőszimulátor módot is kínál, amelyet már közvetlenül a böngészőből elérhetsz...
Egy friss megállapodás értelmében péntektől teljesen megnyílik a Hormuzi-szoros, amely az elmúlt hónapokban a világtörténelem egyik legjelentősebb olajválságának középpontjában állt...
⚡ A vezetékes villanyautó-töltés talán legkellemetlenebb része a nehéz, koszos kábelek pakolgatása, de ez hamarosan a múlté lehet egy vadonatúj kínai fejlesztésnek köszönhetően...
🏡 Többek között a járvány idején az ingatlanpiac fellendülése soha nem látott nyereséget hozott az Egyesült Államok legnagyobb lakásépítő vállalatainak, amikor az árak az egekbe szöktek, és hatalmas kereslet alakult ki...
🚀 A Cisco kritikus sebezhetőséget javított a Catalyst SD-WAN Manager szoftverben, miután ismeretlen támadók sikeresen kihasználták a hibát, és rootjogosultságot szereztek...
Valentina Tereskova történelmi űrrepülése, a Ford és az IBM alapítása, valamint a spanyol-brit háborúhoz kötődő gibraltári ostrom egyaránt ezen a napon történt...
🍚 A rizs több milliárd ember mindennapi tápláléka világszerte, elkészítése kapcsán azonban rengetegen vitáznak: meg kell-e mosni főzés előtt, vagy felesleges időpazarlás?..
A figyelemhiányos hiperaktivitás-zavar, vagyis az ADHD hivatalos diagnózisa sokak számára elérhetetlen: az időhiány, a költségek, a kevés elérhető szakorvos és az általános tájékozatlanság mind nehezítik az utat...
Alig néhány év alatt gyökeresen megváltozott az internet felhasználói összetétele. Már nem emberek, hanem automatizált rendszerek bonyolítják le a webes kérések többségét – derül ki a Cloudflare Radar mérőrendszerének statisztikáiból, amelyek szerint világszerte a forgalom 57,4%-át úgynevezett agentikus, vagyis parancsokra dolgozó MI-botok generálják, míg a valódi emberek csak 42,6%-ot képviselnek...
🔒 Jó példa erre, hogy Észak-Amerika egyik orvosi kutatóintézetének gépeit kínai kötődésű hackerek támadták meg, és hónapokon át észrevétlenül lopták az érzékeny adatokat...
A világ egyik legnagyobb MI-fejlesztője, az Anthropic váratlanul leállította két fejlett kiberbiztonsági modellje, a Mythos 5 és a Fable 5 elérhetőségét az egész világon, miután amerikai kormányzati előírás erre kötelezte...
Felmerül a kérdés, hogy mennyire bízhatunk meg a legmodernebb vállalati megoldásokban, amikor egy újonnan felfedezett, SearchLeak névre keresztelt sebezhetőség-sorozat lehetővé tette, hogy támadók különleges URL-ek segítségével egyetlen kattintással szerezzenek hozzáférést levelekhez, jelszavakhoz vagy akár SharePoint- és OneDrive-fájlokhoz a Microsoft 365 Copilot Enterprise rendszeren keresztül...
