Mercado Digital

Pacotes NuGet maliciosos escondem “bombas lógicas” programadas para 2027 e 2028

vendasmulti351@gmail.com
vendasmulti351@gmail.com
3 Leitura mínima

Uma investigação da empresa de segurança Socket identificou nove pacotes NuGet que, embora pareçam legítimos, contêm código capaz de acionar cargas maliciosas em datas futuras — agosto de 2027 e novembro de 2028. Os pacotes foram publicados em 2023 e 2024 por um usuário que se apresenta como “shanhai666” e somam 9.488 downloads.

Índice de Conteúdo

Como funciona o ataque

Os artefatos trazem extensões em C# que se ativam sempre que a aplicação executa consultas a banco de dados ou operações em controladores lógicos programáveis (PLCs). O código verifica a data atual e, ao ultrapassar os dias pré-definidos, executa duas ações:

  • encerra o processo da aplicação com 20% de probabilidade;
  • sabotagem de gravações (em alguns casos, com falhas silenciosas) 80% do tempo.

O pacote considerado mais perigoso, Sharp7Extend, foca em PLCs Siemens S7. Ele inicia a sabotagem imediatamente após a instalação e mantém o comportamento até 6 de junho de 2028. Além das interrupções aleatórias, o recurso causa falhas de gravação entre 30 e 90 minutos após a implantação em ambientes industriais.

Lista de pacotes comprometidos

MyDbRepository (13 mai. 2023)
MCDbRepository (5 jun. 2024)
Sharp7Extend (14 ago. 2024)
SqlDbRepository (24 out. 2024)
SqlRepository (25 out. 2024)
SqlUnicornCoreTest (26 out. 2024)
SqlUnicornCore (26 out. 2024)
SqlUnicorn.Core (27 out. 2024)
SqlLiteRepository (28 out. 2024)

As variantes voltadas a SQL Server, PostgreSQL e SQLite são configuradas para detonar em 8 de agosto de 2027 (MCDbRepository) e 29 de novembro de 2028 (SqlUnicornCoreTest e SqlUnicornCore).

Pacotes NuGet maliciosos escondem “bombas lógicas” programadas para 2027 e 2028 - Imagem do artigo

Imagem: Internet

Impacto e atribuição

Todos os pacotes já foram retirados do repositório NuGet, mas a instalação prévia dificulta a detecção futura. Segundo a Socket, a estratégia de ativação escalonada amplia a janela de alcance dos atacantes e complica investigações forenses, já que os erros parecem falhas aleatórias de hardware ou software.

Até o momento, não há confirmação sobre a autoria. A análise de código e o nome de usuário sugerem possível origem chinesa, mas a empresa ressalta que a atribuição ainda é incerta.

Com informações de The Hacker News

GitHub Copilot ganha modelo personalizado que acelera e aprimora sugestões de código
Mantenedor do Log4j relata bastidores da falha Log4Shell e destaca necessidade de mais segurança em projetos abertos
Coalizão Scattered LAPSUS$ Hunters cria 16 canais no Telegram e amplia ataques de extorsão de dados
Samsung Knox reforça camadas de segurança em dispositivos Android corporativos
Falha “TARmageddon” em biblioteca async-tar pode levar à execução remota de código
Compartilhe este artigo
Artigo anterior Linha iPhone 18 deve chegar com câmera frontal de 24 MP, aponta JP Morgan
Próximo Artigo Três fritadeiras elétricas são ofertadas com redução de preço de até 47%

Esteja Conectado

HTV9 Dispositivo Multimídia Inteligente

Últimas Notícias

Robô CA-1, da Circus SE, promete substituir cozinhas inteiras em supermercados, hospitais e universidades
Hardware e Periféricos
Engadget lista 22 sugestões de presentes para quem trabalha em home office
Análises e Reviews de Cadeiras
Estudo baseado no teorema de Gödel aponta que o universo não pode ser uma simulação
Hardware e Periféricos
Toshiba oferece HDs externos Canvio Basics com desconto extra de R$ 50
Hardware e Periféricos

Você também pode gostar