Cảnh báo bomb malware trên NuGet: Hàng loạt package độc hại ẩn mình, chờ phá hoại hệ thống PLC và CSDL đến 2028

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công supply chain tinh vi trên kho lưu trữ NuGet, liên quan đến các package độc hại được cài cắm từ năm 2023. Các package này chứa time-bomb được thiết kế để phá hủy hệ thống, với một số payload chỉ kích hoạt vào năm 2027 và 2028. Đáng lo ngại nhất là gói Sharp7Extend nhắm trực tiếp vào các hệ thống PLC Siemens, gây phá hoại công nghiệp ngay lập tức.

Theo báo cáo từ công ty bảo mật Socket, họ đã xác định 12 package do người dùng shanhai666 đăng tải từ năm 2023 đến 2024. Trong số này, 9 package chứa mã độc và đã có gần 10.000 lượt tải xuống.

Điểm tinh vi của chiến dịch là các package này chứa 99% mã nguồn lành tính và thực hiện đúng chức năng được quảng cáo. Kush Pandya, kỹ sư bảo mật tại Socket, cho biết chiến thuật này là trust-builder giúp chúng vượt qua các quy trình code review, khuyến khích người dùng tin tưởng sử dụng, và che giấu payload độc hại chỉ khoảng 20 dòng giữa hàng nghìn dòng code sạch. Ngay cả khi kích hoạt, các sự cố cũng trông giống như lỗi ngẫu nhiên thay vì một cuộc tấn công có hệ thống.

Các package này nhắm vào các nhà cung cấp cơ sở dữ liệu lớn như SQL Server, PostgreSQL, và SQLite và được cài cắm bomb malware. Ví dụ, một chủng malware SQL Server sẽ kích hoạt vào ngày 8/8/2027, trong khi các gói khác hẹn giờ đến 29/11/2028. Sau ngày này, mỗi khi người dùng truy vấn CSDL, họ sẽ có 20% nguy cơ bị terminate tiến trình ứng dụng. Pandya lưu ý rằng việc hẹn giờ xa như vậy khiến việc incident response gần như không thể, vì các lập trình viên cài đặt chúng vào năm 2024 có thể đã chuyển dự án hoặc công ty vào thời điểm payload kích hoạt.

Tuy nhiên, gói nguy hiểm nhất là Sharp7Extend, nhắm vào các bộ điều khiển logic PLC Siemens S7 phổ biến trong môi trường sản xuất. Gói này sử dụng kỹ thuật typosquatting gói Sharp7 hợp pháp. Sharp7Extend đã có hơn 2.000 lượt tải không có bomb malware và kích hoạt ngay lập tức sau khi cài đặt nhưng sẽ ngừng hoạt động sau ngày 6/6/2028.

Mã độc này chạy hai cơ chế song song để phá hoại công nghiệp. Thứ nhất, nó có 20% xác suất làm crash terminate ứng dụng mỗi khi có giao tiếp với Siemens S7. Thứ hai, sau một thời gian trễ ngẫu nhiên từ 30-90 phút, nó bắt đầu nhiệm vụ data corruption, khiến 80% critical commands bị thất bại. Pandya cảnh báo điều này có thể dẫn đến việc các hệ thống an toàn không thể kích hoạt hoặc các bộ truyền động không nhận được chỉ thị.

Socket ước tính, trong môi trường sản xuất thường có 10 giao tiếp/phút, sự cố crash có thể xảy ra chỉ trong vòng 30 giây sau khi cài đặt. Socket đã làm việc với NuGet và tại thời điểm công bố, tất cả các package độc hại đã bị gỡ bỏ. Họ khuyến cáo các tổ chức phải audit dependency ngay lập tức và coi bất kỳ hệ thống nào chạy Sharp7Extend là đã bị xâm nhập hoàn toàn.