Neue Bedrohungen durch bösartige NuGet-Pakete in der Software-Lieferkette

Die digitale Landschaft ist ständig neuen Bedrohungen ausgesetzt, wobei die Software-Lieferkette zunehmend ins Visier gerät. Eine aktuelle Entwicklung, die von Sicherheitsexperten aufgedeckt wurde, betrifft bösartige NuGet-Pakete, die als zeitverzögerte Logikbomben fungieren. Diese Pakete zielen auf Datenbanken und industrielle Systeme ab und stellen eine ernsthafte Gefahr für Unternehmen dar, die .NET-Anwendungen einsetzen.

Verborgene Gefahren in der Software-Lieferkette

Forscher haben neun bösartige Pakete im NuGet-Repository identifiziert. NuGet ist ein weit verbreiteter Paketmanager für die .NET-Entwicklungsplattform. Diese Pakete, die von einem Akteur namens „shanhai666“ veröffentlicht wurden, wurden fast 9.500 Mal heruntergeladen, bevor sie entfernt werden konnten. Das Besondere an diesen Angriffen ist ihre zeitverzögerte Natur und ihre Ausrichtung auf kritische Infrastrukturen.

Die Funktionsweise der "Zeitbomben"

Der Kern der Bedrohung liegt in der Implementierung von Logikbomben, die erst Jahre nach der Installation der Pakete ihre schädliche Wirkung entfalten sollen. Die meisten der betroffenen Pakete sind für eine Aktivierung in den Jahren 2027 und 2028 konzipiert. Dies erschwert die Zuordnung erheblich, da die ursprünglichen Entwickler, die die Pakete installiert haben, zu diesem Zeitpunkt möglicherweise nicht mehr im Unternehmen tätig sind.

Die Angreifer nutzten mehrere raffinierte Techniken, um Vertrauen aufzubauen und die Erkennung zu umgehen:

• Funktionsfähiger Code: Die bösartigen Pakete waren zu 99 Prozent funktionsfähig und boten die beworbenen Funktionen. Dies ließ sie legitim erscheinen und ermöglichte es ihnen, Code-Reviews und Funktionstests zu bestehen.
• Bündelung legitimer Bibliotheken: Im Falle von „Sharp7Extend“ wurde die unveränderte, legitime Sharp7-Bibliothek gebündelt. Dies täuschte Entwickler über die Funktionalität während der Tests hinweg.
• Verwendung von C#-Erweiterungsmethoden: Diese Sprachfunktion ermöglichte es dem Angreifer, seinen Code transparent bei jeder Datenbankabfrage oder SPS-Operation auszuführen, ohne den Originalcode direkt zu modifizieren.

"Sharp7Extend": Ein gezielter Angriff auf industrielle Steuerungssysteme

Besondere Besorgnis erregt das Paket Sharp7Extend. Dieses Paket ist ein sogenanntes „Typosquat“, das darauf abzielt, Entwickler zu täuschen, die nach der legitimen Sharp7-Bibliothek suchen. Sharp7 ist ein gängiges Werkzeug zur Kommunikation mit Siemens S7 speicherprogrammierbaren Steuerungen (SPS), die in der Fertigung, Energieversorgung und Logistik zur Steuerung physikalischer Prozesse eingesetzt werden.

„Sharp7Extend“ enthält zwei Sabotagemechanismen:

1. Sofortige, zufällige Abstürze: Unmittelbar nach der Installation verursacht das Paket in 20 Prozent der Fälle, in denen die Host-Anwendung mit einer SPS kommuniziert, einen zufälligen Absturz. Dies kann als intermittierende Fehler missinterpretiert werden.
2. Verzögerte Schreibfehler: Nach einer "Schonfrist" von 30 bis 90 Minuten nach der Installation führt das Paket dazu, dass 80 Prozent der SPS-Schreiboperationen stillschweigend fehlschlagen. Dies bedeutet, dass die Anwendung glaubt, einen Befehl erfolgreich gesendet zu haben, dieser aber nie ausgeführt wird. Solche Fehler können zu Datenkorruption und potenziellen physischen Sicherheitsrisiken führen, da Befehle wie „Sicherheitssystem aktivieren“ oder „Sollwert aktualisieren“ nicht umgesetzt werden.

Die probabilistische und zeitverzögerte Natur dieser Angriffe macht die forensische Untersuchung und Zuordnung extrem schwierig. Ein System, das erst Jahre später ausfällt, lässt sich kaum auf eine scheinbar harmlose Abhängigkeit zurückführen, die ein Entwickler vor langer Zeit installiert hat.

Auswirkungen und Prävention

Diese Kampagne verdeutlicht, wie Betriebstechnologien (OT) über IT-Lieferketten direkt angegriffen werden können. Die potenziellen Folgen reichen von Datenverlust und Systemausfällen bis hin zu schwerwiegenden Sicherheitsrisiken in industriellen Umgebungen.

Empfohlene Maßnahmen für Unternehmen:

• Sofortige Auditierung: Führen Sie eine umfassende Überprüfung aller .NET-Anwendungen durch, um die neun identifizierten bösartigen NuGet-Pakete zu finden. Jedes System, das „Sharp7Extend“ verwendet, sollte als kompromittiert betrachtet und auf Datenintegritätsprobleme untersucht werden.
• Stärkung der Abhängigkeitskontrolle: Implementieren Sie Richtlinien, die eine strenge Überprüfung von Drittanbieter-Bibliotheken und -Paketen vorschreiben.
• Verhaltensanalyse: Gehen Sie über die traditionelle Schwachstellenprüfung hinaus. Führen Sie eine Verhaltensanalyse des Codes von Drittanbietern durch, um bösartige Absichten zu erkennen.
• Schreibverifizierung für SPS-Kommunikation: Für industrielle Umgebungen sind neue Kontrollen wie die Schreibverifizierung von SPS-Kommunikationen und die Überwachung von Baselines erforderlich, um anomale Fehlerraten zu erkennen.

Die Entdeckung dieser "Zeitbomben"-Pakete unterstreicht die Notwendigkeit einer kontinuierlichen Wachsamkeit und proaktiver Sicherheitsstrategien in der Softwareentwicklung. Unternehmen müssen ihre Lieferketten sichern und ihre Abwehrmechanismen ständig weiterentwickeln, um solchen komplexen und zeitverzögerten Bedrohungen begegnen zu können.

Bibliography: - Daws, Ryan. "Malicious time bomb packages on NuGet target databases, industry." Developer-Tech.com. 7 November 2025. - The Hacker News. "Hidden Logic Bombs in Malware-Laced NuGet Packages Set to Detonate Years After Installation." TheHackerNews.com. 7 November 2025. - MacCastrillon, Diego. "NuGet Ticking Time Bombs Target Databases, Industrial Controls." Rhyno.io. 7 November 2025. - Underhill, Ken. "Malicious NuGet Packages Hide Time-Delayed Sabotage Code." ESecurityPlanet.com. 7 November 2025. - Jones, Connor. "Crims plant time bomb malware in industrial .NET extensions." TheRegister.com. 7 November 2025. - Ahmed, Omar. "Malicious NuGet Packages Found: A Threat to .NET Developers." LinkedIn.com. 24 October 2025. - Zanki, Karlo. "IAmReboot: Malicious NuGet packages exploit loophole in MSBuild integrations." ReversingLabs.com. 31 October 2023. - Zanki, Karlo. "Malicious NuGet campaign uses homoglyphs and IL weaving to fool devs." ReversingLabs.com. 11 July 2024.