En Bref

• Neuf packages NuGet malveillants, téléchargés près de 9 500 fois, peuvent perturber des bases de données et des systèmes de contrôle industriel.
• Le malware s’active à des dates déclencheuses allant jusqu’en 2028, avec une part de hasard pour éviter une détection facile.
• Le package Sharp7Extend cible les systèmes de sécurité industriels utilisant des automates Siemens PLC, provoquant des défaillances silencieuses et des plantages de processus.
• Les attaquants ont utilisé des astuces de code ingénieuses pour dissimuler des bombes logiques dans des logiciels à l’apparence légitime, exploitant la confiance dans les écosystèmes open source.
• Les experts avertissent que l’investigation forensique sera quasiment impossible, laissant une piste froide pendant des années.

Le piège tendu dans le code

Imaginez ouvrir un cadeau apparemment inoffensif, pour découvrir des années plus tard qu’il s’agit d’une bombe à retardement. C’est la réalité troublante pour des milliers de développeurs et d’entreprises qui ont installé sans le savoir des packages NuGet contaminés par du sabotage caché, programmés pour “exploser” des années après leur livraison. Ces explosifs numériques - déguisés en bibliothèques .NET utiles - ont été téléchargés près de 9 500 fois avant que leur véritable nature ne soit révélée.

Déroulement de l’attaque

Des chercheurs de Socket, une société de sécurité de la chaîne d’approvisionnement logicielle, ont découvert neuf packages NuGet, tous publiés par un utilisateur se faisant appeler “shanhai666”, qui fonctionnaient comme des chevaux de Troie. Ces packages portaient des noms anodins comme SqlUnicornCore et MyDbRepository, ciblant des technologies de bases de données populaires et des systèmes industriels. Le plus inquiétant était Sharp7Extend, qui se faisait passer pour une mise à niveau d’une bibliothèque de confiance utilisée pour contrôler des appareils industriels Siemens S7 - une infrastructure critique dans les usines.

Le malware était habilement tissé dans la structure de ces packages grâce à une fonctionnalité de programmation C# appelée “méthodes d’extension”. Cela permettait au code de l’attaquant de s’incruster de façon invisible dans chaque opération sur une base de données ou un appareil industriel, vérifiant la date système à chaque fois. Une fois la “date déclencheuse” codée en dur atteinte (jusqu’en novembre 2028), la bombe explose - parfois en mettant fin immédiatement à des processus vitaux, parfois en corrompant silencieusement des opérations critiques selon le hasard. Par exemple, Sharp7Extend commence à saboter les systèmes dans l’heure suivant l’installation et continue jusqu’à mi-2028, provoquant des arrêts aléatoires de processus et faisant échouer silencieusement 80 % des commandes d’écriture vers les contrôleurs industriels.

Une nouvelle génération d’attaque sur la chaîne d’approvisionnement

Les attaques sur la chaîne d’approvisionnement logicielle ne sont pas nouvelles - on se souvient de la célèbre brèche SolarWinds ou de l’incident Event-Stream sur npm - mais cette campagne se distingue par sa patience et sa subtilité. En mêlant un code presque entièrement légitime à une minuscule charge utile bien camouflée, les attaquants ont gagné la confiance des développeurs et sont restés indétectés. L’activation différée et probabiliste signifie que même lorsque les systèmes dysfonctionnent, cela semblera être une panne matérielle aléatoire, et non une cyberattaque coordonnée. Lorsque les bombes exploseront, les développeurs d’origine auront peut-être déjà quitté leur poste depuis longtemps, laissant les entreprises sans moyen simple de remonter à la source de l’infection.

La motivation reste floue, mais le ciblage délibéré des systèmes de contrôle industriel laisse penser à une possible dimension géopolitique - peut-être une tentative de préparer discrètement le terrain pour de futurs sabotages d’infrastructures critiques. Le rapport de Socket note que le nom d’utilisateur de l’attaquant et son style de code pourraient suggérer une origine chinoise, même si l’attribution dans le cyberespace reste toujours incertaine.

Leçons d’une menace persistante

Ce cas est un avertissement sévère sur la fragilité de la confiance dans le logiciel open source. À mesure que les chaînes d’approvisionnement numériques deviennent toujours plus complexes, un seul package compromis peut se propager à des milliers de systèmes, attendant son heure pendant des années. Pour les défenseurs, la tâche est immense : auditer toutes les dépendances, surveiller les défaillances subtiles, et ne jamais supposer qu’un nom familier est synonyme de sécurité. Les véritables dégâts pourraient ne survenir qu’en 2027, mais il faut agir dès maintenant.

WIKICROOK

• NuGet : NuGet est une plateforme en ligne et un gestionnaire de packages qui permet aux développeurs .NET de partager, télécharger et gérer des bibliothèques de code réutilisables pour leurs projets.
• Bombe logique : Une bombe logique est un code malveillant caché qui s’active et cause des dommages lorsqu’il est déclenché par un événement ou une condition spécifique dans un système informatique.
• PLC (Automate Programmable Industriel) : Un PLC est un ordinateur robuste qui automatise et contrôle des machines et des processus industriels dans des usines, des installations et d’autres environnements industriels.
• Méthode d’extension : Une méthode d’extension en C# permet d’ajouter de nouveaux comportements à des types existants sans modifier leur code source, améliorant ainsi la flexibilité et la réutilisabilité.
• Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.