Forscher haben ein beliebtes Open-Source-Paket identifiziert, das möglicherweise Industriespionage-Malware versteckt.
„SqzrFramework480“ ist eine .NET Dynamic Link Library (DLL), die offenbar zu Bozhon Precision Industry Technology Co. gehört, einem chinesischen Hersteller von Unterhaltungselektronik und verschiedenen Industrietechnologien. Zu den angegebenen Funktionen der Datei gehören das Verwalten und Erstellen grafischer Benutzeroberflächen (GUIs), das Initialisieren und Konfigurieren von Bildverarbeitungsbibliotheken, das Anpassen von Roboterbewegungseinstellungen und mehr. Es wurde am 24. Januar in das NuGet-Open-Source-Repository hochgeladen und hat zum Zeitpunkt dieses Schreibens bereits 3,000 Downloads.
Am Ende ist es möglicherweise nicht mehr als das, was es verspricht. Aber Forscher von ReversingLabs haben SqzrFramework480 in einem neuen Bericht als verdächtig gekennzeichnet, und zwar dank einer darin verborgenen Methode, die scheinbar ziemlich bösartige Dinge tut: Screenshots erfassen, einen Socket öffnen und Daten an eine verborgene IP-Adresse exfiltrieren.
Ist SqzrFramework480 eine OT-Hintertür?
Von chinesischen Unternehmen entwickelte Software wurde Wird bei böswilligen Angriffen auf die Lieferkette verwendet davor und Cyber-Bedrohungen für Industriesysteme sind dort nicht neu.
Ist SqzrFramework480 eine Fortsetzung dieser Trends? Die Antwort liegt in seiner Methode „Init“.
Die Aufgabe von Init beginnt mit dem Pingen einer Remote-IP-Adresse. Diese IP-Adresse wird als Byte-Array gespeichert, wobei jedes Byte ein ASCII-codiertes Zeichen ist.
Wenn der Ping nicht erfolgreich ist, geht das Programm in den Ruhezustand und versucht es 30 Sekunden später erneut. Wenn dies gelingt, öffnet es einen Socket und stellt eine Verbindung zu dieser IP-Adresse her. Anschließend erstellt es einen Screenshot des Monitors, auf dem es installiert ist, packt ihn in ein Byte-Array und sendet ihn über den Socket.
Einerseits, so postulierten die Forscher, könnte es sich einfach um einen Mechanismus zum Streamen von Bildern von einer Bozhon-Kamera an eine Workstation handeln. Aber bestimmte kontextbezogene Beweise trüben diese Theorie.
Zum einen neigen die Namen und Klassen innerhalb von SqzrFramework480 dazu, eher unscheinbare Bezeichnungen zu haben; Nirgends könnte man beispielsweise darauf schließen, dass es Screenshots aufnimmt. Und warum wird die angepingte IP-Adresse als Byte verborgen? „Das ist eine Art verdächtige oder ungewöhnliche Praxis“, bemerkt Petar Kirhmajer, der Autor des Berichts. „Warum würden Sie nicht einfach die IP [im Klartext] angeben?“
Neben dem Aufwand, Init zu verschleiern, gibt es auch die Tatsache, dass das Paket von einem unauffälligen NuGet-Konto aufgelistet wurde, dessen einziger vorheriger Eintrag „SqzrFramework480.Faker“ war, eine verdeckte Version von SqzrFramework480.
Anstelle aller rauchenden Waffen bleibt SqzrFramework480 live und steht zum Download zur Verfügung.
„Mein Vorschlag wäre, nicht jedem Paket blind zu vertrauen“, sagt Kirhmajer. „Wenn Sie können, sollten Sie sie selbst [manuell] prüfen. Und wenn Sie nicht über die Ressourcen verfügen, dies selbst zu tun, sollten Sie Tools verwenden, um diese Pakete automatisch zu scannen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 000
- 24
- 30
- 7
- a
- Konto
- Adresse
- Anpassung
- aufs Neue
- bereits
- ebenfalls
- an
- machen
- beantworten
- jedem
- erscheint
- SIND
- Feld
- AS
- Prüfung
- Autor
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- Hintertür-
- BE
- war
- Bevor
- beginnt
- blindlings
- aber
- by
- Kamera
- CAN
- Captures
- Capturing
- sicher
- Kette
- Charakter
- chinesisch
- Unterricht
- CO
- Unternehmen
- konfigurieren
- Connects
- Verbraucher
- kontextuelle
- Fortsetzung
- könnte
- Erstellen
- technische Daten
- entwickelt
- do
- die
- Don
- herunterladen
- Downloads
- dynamisch
- jeder
- Elektronik
- Ende
- Spionage
- Jedes
- Beweis
- Beispiel
- Tatsache
- Reichen Sie das
- markiert
- Aussichten für
- für
- Funktionen
- Goes
- weg
- Pflege
- Haben
- versteckt
- HTTPS
- identifiziert
- if
- Bilder
- in
- das
- industriell
- Energiegewinnung
- innerhalb
- installiert
- Schnittstellen
- in
- IP
- IP Address
- isn
- IT
- SEINE
- Januar
- Job
- jpeg
- nur
- Art
- Etiketten
- später
- Bibliotheken
- Bibliothek
- liegt
- lieu
- LINK
- Gelistet
- listing
- leben
- Maschine
- böswilligen
- Malware
- flächendeckende Gesundheitsprogramme
- manuell
- Hersteller
- Kann..
- Mechanismus
- Methode
- Überwachen
- mehr
- Bewegung
- my
- Namen
- Netto-
- Neu
- nicht
- Notizen
- nirgends
- verdeckt
- of
- on
- EINEM
- einzige
- XNUMXh geöffnet
- Open-Source-
- Eröffnung
- öffnet
- or
- ot
- Paket
- Pakete
- Klingeln
- Plato
- Datenintelligenz von Plato
- PlatoData
- Beliebt
- Praxis
- Präzision
- Vor
- Programm
- lieber
- bleibt bestehen
- entfernt
- berichten
- Quelle
- Forscher
- Downloads
- s
- sagt
- Scan
- Screenshots
- Sekunden
- scheint
- sendet
- Einstellungen
- sollte
- einfach
- schlafen
- Quelle
- angegeben
- gelagert
- Streaming
- Erfolg haben
- erfolgreich
- liefern
- Supply Chain
- misstrauisch
- nimmt
- Technologies
- Technologie
- Neigen
- als
- Vielen Dank
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Sie
- dann
- Theorie
- Dort.
- Diese
- Ding
- fehlen uns die Worte.
- diejenigen
- Bedrohungen
- Durch
- zu
- Werkzeuge
- Trends
- Vertrauen
- Ungewöhnlich
- hochgeladen
- -
- Mitglied
- verschiedene
- Version
- Seh-
- wurde
- Was
- deren
- warum
- .
- Arbeitsplatz
- würde
- wouldn
- Schreiben
- Du
- sich selbst
- Zephyrnet