کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی ۹ پکیج آلوده در رجیستری NuGet خبر دادهاند که بهصورت زماندار و با تأخیر چندساله، رفتارهای مخرب را در سیستمهای صنعتی و پایگاههای داده فعال میکنند.
به گزارش کمیته رکن چهارم، این پکیجها که از سال ۲۰۲۳ توسط حساب کاربری shanhai666 منتشر شدهاند، بهصورت مخفیانه شامل بمبهای منطقی هستند که از طریق متدهای الحاقی در زمانهای مشخصی مانند آگوست ۲۰۲۷ یا نوامبر ۲۰۲۸ فعال میشوند. مهمترین پکیج، Sharp7Extend، کاربران کتابخانه Sharp7 را هدف قرار داده و میتواند کنترلرهای صنعتی زیمنس را دچار اختلال کند.
رفتار مخرب شامل خاموشکردن تصادفی نرمافزار یا جلوگیری از نوشتن داده در PLC و پایگاهدادههاست. در برخی موارد، این خرابکاریها بلافاصله پس از نصب آغاز میشوند و تا سالها فعال باقی میمانند. همچنین، تاریخهای فعالسازی بهصورت رمزنگاریشده یا hardcoded در فایلهای پیکربندی پنهان شدهاند.
شرکت امنیتی Socket اعلام کرده که بیش از ۹,۴۰۰ بار این پکیجها بارگیری شدهاند و برخی از آنها در محیطهای صنعتی واقعی مورد استفاده قرار گرفتهاند. تحلیلگران معتقدند که طراحی تأخیری حمله، شناسایی و پاسخ به آن را بسیار دشوار میسازد.
در حال حاضر هویت عامل این کارزار مشخص نیست اما انتخاب نام کاربری منتشرکننده، شائبه منشأ چینی بودن را تقویت میکند. این حمله یکی از نادرترین نمونههای بمب منطقی در زنجیره تأمین نرمافزار بهشمار میرود و هشداری جدی برای توسعهدهندگان و سازمانهایی است که به پکیجهای متنباز وابستهاند.
