NuGet

🔍 Contexte Publié le 6 mai 2026 par Socket’s Threat Research Team, cet article présente la découverte de cinq packages NuGet malveillants publiés sous le compte bmrxntfj, actifs depuis au moins septembre 2025 et ayant accumulé environ 64 784 téléchargements toutes versions confondues. 📦 Packages malveillants identifiés Les cinq packages usurpent des bibliothèques .NET chinoises légitimes : IR.DantUI et IR.OscarUI : imitent AntdUI (bibliothèque WinForms sur Gitee) IR.Infrastructure.Core, IR.Infrastructure.DataService.Core, IR.iplus32 : imitent des bibliothèques d’entreprise chinoises internes L’opérateur maintient 219 versions masquées (listed: false) sur 224 au total, ne laissant visible qu’une seule version à la fois pour éviter la détection. Une rotation de versions active invalide les IOCs basés sur les hashes de fichiers. ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Source: Socket (blog de recherche). L’équipe Threat Research de Socket a identifié neuf paquets NuGet malveillants publiés sous l’alias « shanhai666 » (2023–2024), dont l’un cible les systèmes de contrôle industriels (ICS). Signalés à NuGet le 5 novembre 2025, ils totalisent 9 488 téléchargements et étaient toujours en ligne à la publication. • Nature de l’attaque: compromission de la chaîne d’approvisionnement via des paquets NuGet fournissant 99% de code fonctionnel pour masquer ~20 lignes de charge malveillante. Techniques incluant typosquatting (notamment « Sharp7Extend » autour de la bibliothèque légitime Sharp7), bundling de bibliothèques légitimes, méthodes d’extension C# pour intercepter les opérations, déclenchement temporel (2027–2028) et exécution probabiliste (20% d’arrêts). Des certificats Microsoft contrefaits et des métadonnées incohérentes d’auteur sont signalés. ...

Selon BleepingComputer, plusieurs paquets malveillants publiés sur le registre NuGet contiennent des charges de sabotage programmées pour s’activer en 2027 et 2028. Les cibles mentionnées sont des implémentations de bases de données et des dispositifs de contrôle industriel Siemens S7 🏭, suggérant un risque pour des environnements applicatifs et des systèmes ICS. Points clés: Paquets malveillants sur NuGet (chaîne d’approvisionnement logicielle) ⚠️ Charges de sabotage à activation différée (2027–2028) Ciblage de bases de données et d’équipements Siemens S7 TTPs observés (d’après l’extrait): ...