Redazione RHC : 10 noviembre 2025 15:56
Los investigadores descubrieron varias bibliotecas en el registro público de NuGet que contenían código que se activará en 2027 y 2028. Los paquetes infectados tienen como objetivo tres motores de almacenamiento de datos .NET populares (Microsoft SQL Server, PostgreSQL y SQLite) , y un componente está específicamente disfrazado de biblioteca para funcionar con controladores Siemens S7.
Los analistas de sockets encontraron nueve paquetes publicados por la cuenta shanhai666 . A primera vista, las bibliotecas parecían funcionar con normalidad: casi todo el código ( alrededor del 99% ) realizaba funciones útiles, por lo que es posible que los desarrolladores no hayan notado nada sospechoso. Sin embargo, cada biblioteca contenía un pequeño fragmento de lógica maliciosa , un módulo de unas 20 líneas, integrado en llamadas estándar de la aplicación.
La técnica de inyección se basa en métodos de extensión de C#. Estas extensiones se ejecutan cada vez que se llama a una operación de base de datos o durante la interacción con el PLC, lo que permite insertar el bloque malicioso en el flujo de ejecución sin modificar las interfaces de la aplicación.
Internamente, se verifica la fecha del sistema: si se encuentra dentro de un rango estrictamente definido ( del 8 de agosto de 2027 al 29 de noviembre de 2028) , se inicia un generador de números aleatorios entre 1 y 100. Si el valor es superior a 80 (aproximadamente el 20% de las veces), se llama a `Process.GetCurrentProcess().Kill()` , lo que finaliza inmediatamente el proceso actual.
En aplicaciones y servicios de servidor con transacciones frecuentes, este comportamiento provoca fallos de servicio repentinos e interrupciones en el procesamiento de solicitudes . En sistemas industriales, una lógica similar puede interrumpir la comunicación con los equipos e inhabilitar nodos de control críticos .
Otro riesgo lo plantea el paquete Sharp7Extend , que se hace pasar por una extensión de la popular biblioteca Sharp7 , una solución .NET para la comunicación con PLC Siemens S7. El atacante utilizó deliberadamente un nombre similar, con la esperanza de que los desarrolladores lo encontraran al buscar « mejoras » para Sharp7 . Esta biblioteca sustituta implementa dos métodos de ataque distintos.
El primer esquema implica la finalización inmediata de la sesión: cuando se llama a una función de transacción, se produce una finalización forzada en el 20 % de los casos, interrumpiendo la comunicación con el controlador. Este modo es válido hasta el 6 de junio de 2028. El segundo esquema es más complejo: el módulo intenta leer un valor de configuración inexistente, interrumpiendo la inicialización. A continuación, se activa un filtro de escritura y se establece una demora artificial de entre 30 y 90 minutos. Transcurrido este intervalo, los parámetros que se escriben y que se encuentran dentro del rango del filtro tienen un 80 % de probabilidad de estar dañados. Como consecuencia , los actuadores no reciben comandos, los puntos de ajuste no se actualizan, los sistemas de protección fallan y los parámetros del proceso permanecen sin cambios o asumen valores incorrectos.
La combinación de la interrupción inmediata del proceso y el daño diferido hace que el ataque sea de varias etapas: primero, se interrumpen la monitorización y la comunicación, luego se introduce un error oculto en la lógica de control, que posteriormente se manifiesta y provoca errores de seguridad y de proceso.
En el momento de la publicación, los investigadores observaron que la cuenta shanhai666 alojaba inicialmente 12 paquetes, pero solo nueve contenían el código malicioso . Tras una descarga masiva (aproximadamente 9500), estas cuentas y paquetes fueron eliminados del catálogo. Sin embargo, el riesgo persiste: los proyectos que ya han aceptado estas dependencias podrían verse comprometidos al activarse los mecanismos de ataque.
Aquí hay algunos consejos prácticos para equipos de desarrollo y operadores de redes industriales. Primero, revise inmediatamente la lista de todas las dependencias y verifique los siguientes paquetes: SqlUnicorn.Core, SqlDbRepository, SqlLiteRepository, SqlUnicornCoreTest, SqlUnicornCore, SqlRepository, MyDbRepository, MCDbRepository y Sharp7Extend .
Si se encuentra una coincidencia, desinstale el componente, vuelva a una compilación segura y restaure sus aplicaciones desde una copia de seguridad verificada. En segundo lugar, haga un inventario de sus descargas y compilaciones para asegurarse de que su cadena de herramientas de compilación no haya detectado ninguna versión infectada.
Los autores del informe subrayan que aún se desconocen los motivos y el origen de la campaña, pero su ejecución demuestra un ataque bien orquestado contra la cadena de suministro de software. Un pequeño fragmento malicioso insertado en bibliotecas de confianza podría causar graves interrupciones tanto en la infraestructura de TI como en la producción industrial si no se toman medidas urgentes para detectar y mitigar la amenaza.
RedazioneImagina una ciudad futurista dividida en dos: por un lado, relucientes torres de innovación; por el otro, el caos y las sombras de la pérdida de control. Esta no es una visión distópica, sino el p...
Había una vez un pueblo con un Bosque Mágico. Sus habitantes se sentían orgullosos de tenerlo, incluso un poco orgullosos. Por eso, todos sacrificaban gustosamente algunas pequeñas comodidades par...
Según informes, los servicios de inteligencia surcoreanos , incluido el Servicio Nacional de Inteligencia, creen que existe una alta probabilidad de que el presidente estadounidense Donald Trump cele...
En 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
En unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
