Pacotes NuGet mal-intencionados soltam “bombas-relógio” disruptivas

Wiz

Vários pacotes maliciosos no NuGet têm cargas de sabotagem programadas para serem ativadas em 2027 e 2028, visando implementações de banco de dados e dispositivos de controle industrial Siemens S7.

O código malicioso incorporado usa um gatilho probabilístico, portanto, pode ou não ser ativado dependendo de um conjunto de parâmetros no dispositivo infectado.

O NuGet é um gerenciador de pacotes de software livre e um sistema de distribuição de software, permitindo que os desenvolvedores baixem e incluam bibliotecas .NET prontas para execução em seus projetos.

WizSharp7Extend, que tem como alvo os usuários da biblioteca legítima Sharp7 para comunicação via ethernet com os controladores lógicos programáveis (PLCs) da Siemens.

“Ao anexar “Estender” ao nome confiável do Sharp7, o agente da ameaça explora os desenvolvedores que procuram extensões ou aprimoramentos do Sharp7″, disseram os pesquisadores do Socket.

Sob o nome de desenvolvedor shanhai666, o NuGet listou 12 pacotes, mas apenas nove deles incluíam código malicioso:

  1. SqlUnicorn.Core
  2. Repositório SqlDb
  3. Repositório SqlLiteRepository
  4. SqlUnicornCoreTest
  5. SqlUnicornCore
  6. Repositório Sql
  7. MyDbRepository
  8. Repositório MCDbRepository
  9. Sharp7Extend

No momento da publicação, não há pacotes listados com o nome desse desenvolvedor. Mas deve-se notar que a exclusão ocorreu depois que a contagem de downloads quase atingiu 9.500.

Esgueirando-se uma “bomba” para 2028

De acordo com os pesquisadores da Socket, os pacotes contêm principalmente (99%) código legítimo, criando uma falsa sensação de segurança e confiança, mas incluem uma pequena carga maliciosa de 20 linhas.

“O malware explora métodos de extensão C# para injetar de forma transparente lógica maliciosa em cada banco de dados e operação de PLC”, Socket Explica em um relatório esta semana.

Os métodos de extensão são executados sempre que uma aplicação executa uma consulta ao banco de dados ou uma operação de CLP. Há também uma verificação para a data atual no sistema comprometido contra a data de acionamento codificada em hardware, que varia de 8 de agosto de 2027 a 29 de novembro de 2028.

Data de acionamento
Corrompendo gravações de CLPvia BeginTran()) e corrupção de gravação atrasada (via ResFliter) cria um ataque sofisticado em várias camadas que evolui com o tempo”, dizem os pesquisadores da Socket.

Embora os objetivos exatos e as origens dessas extensões permaneçam obscuros, recomenda-se que as organizações potencialmente afetadas auditem imediatamente seus ativos para os nove pacotes e assumam o compromisso, se houver.

Para ambientes industriais que executam o Sharp7Extend, audite a integridade das operações de gravação do PLC, verifique os logs do sistema de segurança em busca de comandos perdidos ou ativações com falha e implemente a verificação de gravação para operações críticas.

7 práticas recomendadas de segurança para MCP

À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão se movendo rapidamente para manter esses novos serviços seguros.

Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.

Bill Toulas

Bill Toulas é redator de tecnologia e repórter de notícias de segurança da informação com mais de uma década de experiência trabalhando em várias publicações online, cobrindo código aberto, Linux, malware, incidentes de violação de dados e hacks.

Você também pode gostar:

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.