- Socketは、産業用制御システムを標的とした遅延型サボタージュを含む9つのNuGetパッケージを発見
- Sharp7ExtendはSiemens S7 PLCを破損させ、ホストプロセスをランダムにクラッシュさせる可能性あり
- 悪意のあるコードは2027~2028年に発動予定。ユーザーは該当パッケージの監査と削除を推奨
数千の重要インフラ組織および同様に重要な他分野の組織が、2年後に産業用制御デバイス(ICD)を破壊しようとする悪質な攻撃の標的となっていたことが、専門家により明らかになりました。
サイバーセキュリティ研究者のSocketは最近、特定の条件が満たされた場合に2027年と2028年に発動するサボタージュ用ペイロードを含む9つのNuGetパッケージを発見しました。
NuGetは.NET向けのパッケージマネージャーであり、ソフトウェア開発者が簡単にプロジェクトに統合できるオープンソースの.NETライブラリを提供しています。
数千の被害者
Socketによると、これらのパッケージは.NETアプリケーションで使用される主要な3つのデータベースプロバイダー(SQL Server、PostgreSQL、SQLite)すべてを標的としており、最も危険なのはSharp7Extendだとしています。このパッケージはSharp7ライブラリの利用者を狙っています。
「信頼されたSharp7の名前に“Extend”を付け加えることで、脅威アクターはSharp7の拡張や強化を探している開発者を狙っています」とSocketは説明しています。
これらをホストしていたアカウントはshanhai666であり、BleepingComputerによると、これらすべては現在非公開となっています。それまでに、パッケージは合計で約1万回ダウンロードされていました。
パッケージ内のコードのほぼすべて(99%)はクリーンでしたが、残りの1%が致命的となり得ます。このコードは、アプリがデータベースやSiemens S7 PLCと通信するたびに実行されるよう書かれていました。
Siemens S7産業用制御デバイスは、通常、製造工場、エネルギー・ユーティリティ、石油・ガス・化学産業、ビルオートメーション、交通分野で使用されています。
ペイロードは2027年8月8日から2028年11月29日の間のみ発動し、2つの破壊的な動作を行います。1つは20%の確率でホストプロセスをランダムに終了させ(即時停止を引き起こす)、もう1つはSharp7Extendパッケージで初期化を妨害したり、90分の遅延後に80%の確率でPLC書き込みコマンドを破損させたりします。
これらのパッケージを誰が、何の目的でアップロードしたのかは依然不明です。ユーザーは資産を監査し、該当パッケージを直ちに削除することが推奨されています。
これまでに発見された悪意のあるパッケージの全リストは以下の通りです:
SqlUnicorn.Core
qlDbRepository
SqlLiteRepository
SqlUnicornCoreTest
SqlUnicornCore
SqlRepository
MyDbRepository
MCDbRepository
Sharp7Extend
出典: BleepingComputer
GoogleニュースでTechRadarをフォローし、 優先ソースとして追加して、私たちの専門ニュース、レビュー、意見をフィードで受け取りましょう。必ずフォローボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画形式でチェックしたり、WhatsAppでも定期的に最新情報を受け取ることができます。
