Yazılım tedarik zinciri güvenliği alanında faaliyet gösteren Socket şirketinin analizlerine göre, “shanhai666” kullanıcı adıyla yayımlanan NuGet paketleri, 2023 ve 2024 yıllarında yayımlanmış olmasına rağmen kötü amaçlı kodlarını 2027 ve 2028 yıllarında tetiklemek üzere tasarlanmıştır. Toplamda 9.488 kez indirilen bu paketler, yazılım tedarik zinciri saldırılarında yeni bir sofistike tehdit modeli ortaya koymaktadır.
Sharp7Extend: Endüstriyel PLC’lere Yönelik Çift Katmanlı Sabotaj
Güvenlik araştırmacısı Kush Pandya’nın detaylandırdığı üzere, en kritik paket olan Sharp7Extend, Siemens S7 programlanabilir lojik kontrolörleri (PLC) ile iletişim için kullanılan meşru Sharp7 kütüphanesini hedef alır. Bu paket, C# uzantı metodları (extension methods) kullanarak, orijinal koda müdahale etmeden uygulama veritabanı sorguları veya PLC işlemleri sırasında gizlice kötü amaçlı kod enjekte eder. Uzantı metodları, geliştiricilerin mevcut türlere yeni fonksiyonlar eklemesini sağlar ve tehdit aktörü bu güçlü C# özelliğini kötüye kullanmaktadır.
Sharp7Extend, iki farklı sabotaj mekanizması içerir: İlki, tetikleme tarihinden sonra %20 olasılıkla uygulama sürecini anlık olarak sonlandıran rastgele işlem kesintileri; ikincisi ise kurulumdan 30 ila 90 dakika sonra başlayan ve PLC’ye yapılan yazma işlemlerinin %80’ini sabote eden sessiz yazma hatalarıdır. Bu ikili saldırı, endüstriyel kontrol sistemlerinde kritik güvenlik açıkları yaratır ve üretim ortamlarında ciddi aksamalara yol açabilir.
Diğer Kötü Amaçlı Paketler ve Tetikleme Tarihleri
Sharp7Extend dışındaki paketler de benzer gecikmeli tetikleme mekanizmalarına sahiptir. Örneğin, MCDbRepository 8 Ağustos 2027’de, SqlUnicornCoreTest ve SqlUnicornCore ise 29 Kasım 2028’de tetiklenecek şekilde yapılandırılmıştır. Bu paketler, SQL Server, PostgreSQL ve SQLite gibi farklı veritabanı uygulamalarını hedef alır. Toplamda 12 paket yayımlanmış olup, 9’u kötü amaçlı işlevsellik taşırken, diğer 3 paket ise amaçlandığı gibi çalışmaktadır. Tüm kötü amaçlı paketler NuGet platformundan kaldırılmıştır.
Teknik Derinlik ve Saldırı Yöntemleri
Bu saldırı kampanyasında, kötü amaçlı yazılımlar rastgele tetikleme tarihleri ve şifreli yapılandırmalar kullanarak tespit edilmesini zorlaştırmaktadır. Ayrıca, %20 olasılıkla uygulama süreçlerini sonlandırma yöntemi, saldırının sistematik bir donanım arızası veya rastgele çökme gibi görünmesini sağlar. Bu durum, olay müdahalesi ve adli incelemeyi neredeyse imkansız hale getirir. Geliştiriciler, kötü amaçlı kodun varlığını fark etmeden paketleri indirip projelerine entegre etmiş olabilir.
Benzer tedarik zinciri saldırılarında MCP istemcisi veya AsyncRAT gibi uzaktan erişim araçlarının kullanılması yaygındır. Bu kampanyada ise, C# uzantı metodları ve şifreli tetikleme parametreleri, saldırının gizliliğini artırmaktadır. Ayrıca, konteyner tabanlı ortamlarda rastgele SSH portları kullanımı gibi teknikler, saldırganların izlerini gizlemesine olanak tanır. Pydantic AI gibi yapay zeka destekli analiz araçları, bu tür karmaşık saldırıların tespiti için geliştirilmektedir.
Tehdit Aktörünün Kökeni ve Sonuçları
Socket’in kaynak kod analizleri ve “shanhai666” kullanıcı adı, saldırının Çin kökenli bir tehdit aktörü tarafından gerçekleştirildiğine işaret etmektedir. Bu kampanya, NuGet tedarik zinciri saldırılarında nadiren görülen karmaşık tekniklerin bir arada kullanıldığını göstermektedir. 2024 yılında paketleri yükleyen geliştiriciler, tetikleme tarihleri geldiğinde başka projelerde veya şirketlerde olabilir, bu da saldırının izini sürmeyi zorlaştırır.
Sonuç olarak, bu tür gecikmeli tetiklemeli mantık bombaları, yazılım tedarik zinciri güvenliği alanında yeni bir tehdit modeli olarak ortaya çıkmakta ve endüstriyel kontrol sistemleri dahil olmak üzere kritik altyapılarda ciddi riskler oluşturmaktadır. Siber güvenlik profesyonellerinin, NuGet gibi popüler paket yöneticilerinde yayımlanan paketlerin davranışlarını sürekli izlemeleri ve gelişmiş analiz araçları kullanmaları gerekmektedir.