In negen packages op NuGet zijn malafide payloads ontdekt. De malware bevat een timer die de payloads activeert in 2027 of 2028. De packages zijn gericht op het saboteren van databases en Siemens S7 industriële regelapparatuur. De packages zijn ontdekt door onderzoekers van securitybedrijf Socket. De packages omvatten grotendeels legitieme code en bevatten werkende functionaliteiten. In de code is echter ook een malafide payload van slechts 20 regels code verstopt. Deze payload laadt pas vanaf een ingestelde datum, die per package varieert. De datum ligt tussen 8 augustus 2027 en 29 november 2028.

De payload laadt niet standaard maar alleen indien een applicatie een database-query of PLC-taak uitvoert. Wanneer de payload vervolgens laadt, wordt allereerst een willekeurig nummer tussen 1 en 100 gegenereerd. Is dit nummer hoger dan 80 dan wordt het hostproces gestopt en zo een crash veroorzaakt. Met deze werkwijze lijkt de maker zijn sabotageactie te willen vermommen als een connectiviteits- of hardwareproblemen, vermoedelijk om detectie te vermijden.

De packages zijn op NuGet gepubliceerd door een ontwikkelaar die zichzelf shanhai666 noemt. Onder deze naam zijn in totaal 12 packages op NuGet gepubliceerd. Negen daarvan omvatten malafide code:

• agentsSqlUnicorn.Core
• agentsSqlDbRepository
• agentsSqlLiteRepository
• agentsSqlUnicornCoreTest
• agentsSqlUnicornCore
• agentsSqlRepository
• agentsMyDbRepository
• agentsMCDbRepository
• agentsSharp7Extend

De packages in kwestie zijn inmiddels verwijderd van NuGet; een waarschuwing op de pagina's meldt dat er malware in de packages is aangetroffen. Socket adviseert organisaties er vanuit te gaan dat systemen waarop deze packages geïnstalleerd waren gecompromitteerd zijn en raadt aan maatregelen te nemen.