Un nuovo e sofisticato attacco alla supply chain del software è stato recentemente scoperto all’interno dell’ecosistema NuGet, la popolare piattaforma per la distribuzione di pacchetti .NET. Sono stati individuati nove pacchetti NuGet malevoli pubblicati tra il 2023 e il 2024 con l’obiettivo di compromettere database e sistemi industriali PLC attraverso payload a rilascio ritardato, ovvero malware programmati per attivarsi solo dopo specifiche date nel futuro, come agosto 2027 e novembre 2028. Questi pacchetti sono stati scaricati quasi diecimila volte, dimostrando un impatto potenziale significativo.

I pacchetti, pubblicati da un utente identificato come “shanhai666”, apparentemente funzionavano come dichiarato, inducendo così sviluppatori ignari a includerli nei loro progetti. In realtà, all’interno del codice era nascosta una vera e propria logic bomb: una porzione di codice malevolo progettata per attivarsi dopo una certa data o evento. In particolare, il pacchetto più pericoloso, denominato Sharp7Extend, bersaglia i PLC industriali con due meccanismi di sabotaggio: la terminazione casuale dei processi e il fallimento silenzioso delle operazioni di scrittura, che si attivano dopo 30-90 minuti dall’installazione, minando la sicurezza di impianti produttivi e sistemi critici.

Tecnica di attacco e offuscamento

La tecnica utilizzata sfrutta le extension methods di C#, un potente strumento che permette di aggiungere funzionalità a tipi esistenti senza modificarne il codice sorgente. Gli attaccanti hanno inserito codice che si attiva ogni volta che viene eseguita una query su database o un’operazione su PLC, verificando la data corrente e attivando il malware solo dopo il superamento delle date trigger, in modo da rendere l’attacco difficile da rilevare e ancora più insidioso.

Impatto e difficoltà di rilevamento

L’approccio differenziato, con attivazioni scaglionate nel tempo e probabilità variabili di esecuzione dei payload, consente agli attaccanti di colpire un numero maggiore di vittime e di mascherare i malfunzionamenti come guasti casuali o errori hardware, rendendo quasi impossibile una risposta efficace e una ricostruzione forense dell’incidente. Una volta che il malware si attiva, le organizzazioni potrebbero non essere più in grado di risalire al punto di compromissione o individuare con precisione chi ha installato la dipendenza dannosa.

Raccomandazioni per la sicurezza

Questa campagna evidenzia come le tecniche di attacco alla supply chain si stiano evolvendo, unendo sofisticate strategie di persistenza e offuscamento. È essenziale che sviluppatori e responsabili della sicurezza adottino strategie di monitoraggio e controllo continuo sulle dipendenze software, privilegiando fonti affidabili e verificando periodicamente i pacchetti utilizzati nei propri progetti per prevenire compromissioni a lungo termine.