【安全资讯】工业.NET扩展中发现定时炸弹恶意软件

概要：

网络安全研究人员近日发现一批潜伏在.NET包管理器NuGet中的恶意软件包，这些早在2023年植入的“定时炸弹”被设定在2027至2028年间触发，其中Sharp7Extend扩展专门针对制造业安全关键系统，已造成近万次下载。这种高度隐蔽的供应链攻击对工业控制系统构成严重威胁。

主要内容：

Socket安全团队确认了9个恶意NuGet包，其中12个由用户shanhai666在2023至2024年间发布的包中有9个包含恶意代码。这些包的独特之处在于99%的代码都是良性功能，仅在数千行合法代码中隐藏约20行恶意载荷。这种设计既能通过代码审查，又能延迟发现，即使触发后故障也会被误认为随机错误。

攻击采用两种机制：针对SQL Server、PostgreSQL等数据库的恶意包设定在未来特定日期（2027年8月8日和2028年11月29日）触发，查询数据库时有20%概率终止主机进程。而针对西门子S7 PLC的Sharp7Extend扩展则采用即时激活策略，通过仿冒合法Sharp7包进行投毒攻击。

该扩展同时运行两种破坏机制：每次S7通信操作有20%概率导致应用终止；安装后30-90分钟随机时段开始，80%的关键指令会执行失败。在制造业环境中，这可能导致安全系统失效、执行器指令丢失等严重后果。根据测算，制造业系统安装后30秒内就可能发生故障。

安全专家警告，由于攻击延迟数年触发，原始开发人员可能早已离职，使得事件响应几乎不可能。建议相关组织立即审计依赖项，并假定安装这些包的系统已完全失陷。