Malware é uma bomba-relógio! A ameaça aos PLCs Siemens S7 começa em 2027.

Lei de Dados: Mais um regulamento? Sim. Mas este realmente muda o jogo (mesmo para aqueles em segurança). - Against Invaders - Notícias de CyberSecurity para humanos.

Malware é uma bomba-relógio! A ameaça aos PLCs Siemens S7 começa em 2027.

Redazione RHC:10 novembro 2025 15:56

Os pesquisadores descobriram várias bibliotecas no registro público do NuGet contendo código que será ativado em 2027 e 2028. Os pacotes infectados têm como alvo três Mecanismos de armazenamento de dados .NET (Microsoft SQL Server, PostgreSQL e SQLite) , e um componente é especificamente disfarçado como uma biblioteca para trabalhar Controladores Siemens S7.

Os analistas de soquete encontraram nove pacotes postados pelo Shanhai666 conta. À primeira vista, as bibliotecas pareciam funcionar normalmente: quase todo o código ( cerca de 99% ) executaram funções úteis, então os desenvolvedores podem não ter notado nada suspeito. Contudo Cada biblioteca continha um pequeno pedaço de lógica maliciosa , um módulo de cerca de 20 linhas, embutidas em chamadas de aplicativo padrão.

A técnica de injeção depende de métodos de extensão C#. Essas extensões são executadas sempre que uma operação de banco de dados é chamada ou durante a interação do CLP, permitindo que o bloco malicioso seja inserido no fluxo de execução sem modificar as interfaces do aplicativo.

Internamente, a data do sistema é verificada: se estiver dentro de um intervalo estritamente definido ( 8 de agosto de 2027 a 29 de novembro de 2028) , um gerador de números aleatórios entre 1 e 100 é iniciado. Se o valor for superior a 80 (cerca de 20% do tempo), Process.GetCurrentProcess(). Matar () é chamado, o que encerra imediatamente o processo atual.

Para aplicativos e serviços de servidor com transações frequentes, esse comportamento resulta em falhas repentinas de serviço e interrupções no processamento de solicitações . Em sistemas industriais, lógica semelhante pode interromper a comunicação com o equipamento e desativar nós de controle críticos .

Um risco distinto é representado pelo Sharp7Extend pacote, que se disfarça como uma extensão do popular Sharp7 biblioteca, uma solução .NET para comunicação com PLCs Siemens S7. O invasor usou deliberadamente um nome semelhante, esperando que os desenvolvedores o encontrassem enquanto procuravam por ” Aprimoramentos ” para Sharp7 . Essa biblioteca de substituição implementa dois métodos de ataque diferentes.

O primeiro esquema envolve o encerramento imediato da sessão: quando uma função de transação é chamada, ocorre um encerramento forçado em 20% dos casos, interrompendo a comunicação com o controlador. Esta modalidade é válida até 6 de junho de 2028. O segundo esquema é mais complexo: o módulo tenta ler um valor de configuração inexistente, interrompendo a inicialização. Um filtro de gravação é então ativado e Um atraso artificial de 30 a 90 minutos é definido. Após o intervalo especificado, os parâmetros que estão sendo gravados que se enquadram no filtro têm uma probabilidade de 80% de serem corrompidos. As consequências são que atuadores não recebem comandos, Os pontos de ajuste não são atualizados, os sistemas de proteção falham e os parâmetros do processo permanecem inalterados ou assumem valores incorretos.

A combinação de Interrupção imediata do processo e danos retardados torna o ataque em vários estágios: primeiro, o monitoramento e a comunicação são interrompidos, depois um erro oculto é introduzido na lógica de controle, que depois se manifesta e Causa erros de segurança e processo.

No momento da publicação, os pesquisadores observaram que a conta shanhai666 inicialmente hospedava 12 pacotes, mas apenas nove incluíam a carga maliciosa . Após um download massivo (aproximadamente 9.500), essas contas e pacotes foram removidos do catálogo. No entanto, o risco permanece: Os projetos que já aceitaram essas dependências podem ser comprometidos quando os gatilhos são ativados.

Aqui estão algumas dicas práticas para equipes de desenvolvimento e operadores de redes industriais. Primeiro, revise imediatamente a lista de todas as dependências e verifique os seguintes pacotes: SqlUnicorn.Core, SqlDbRepository, SqlLiteRepository, SqlUnicornCoreTest, SqlUnicornCore, SqlRepository, MyDbRepository, MCDbRepository e Sharp7Extend .

Se uma correspondência for encontrada, desinstale o componente, reverta para uma compilação segura e restaure seus aplicativos de um backup verificado. Em segundo lugar, faça um inventário de seus downloads e compilações para garantir sua compilação O Toolchain não pegou nenhuma versão infectada.

Os autores do relatório enfatizam que os motivos e origens da campanha ainda são desconhecidos, mas a execução em si demonstra um ataque bem elaborado à cadeia de suprimentos de software. Um pequeno fragmento malicioso incorporado em bibliotecas confiáveis pode causar sérias interrupções na infraestrutura de TI e na produção industrial se medidas urgentes não forem tomadas para detectar e mitigar a ameaça.

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.