Οι ερευνητές εντόπισαν ένα δημοφιλές πακέτο ανοιχτού κώδικα που μπορεί να κρύβει κακόβουλο λογισμικό βιομηχανικής κατασκοπείας.
Το "SqzrFramework480" είναι μια βιβλιοθήκη δυναμικών συνδέσμων .NET (DLL) που φαίνεται να ανήκει στην Bozhon Precision Industry Technology Co., έναν κινέζο κατασκευαστή ηλεκτρονικών ειδών ευρείας κατανάλωσης και διαφόρων βιομηχανικών τεχνολογιών. Οι δηλωμένες λειτουργίες του αρχείου περιλαμβάνουν τη διαχείριση και τη δημιουργία γραφικών διεπαφών χρήστη (GUI), την προετοιμασία και τη διαμόρφωση βιβλιοθηκών μηχανικής όρασης, την προσαρμογή των ρυθμίσεων ρομποτικής κίνησης και πολλά άλλα. Ανέβηκε στο αποθετήριο ανοιχτού κώδικα NuGet στις 24 Ιανουαρίου και έχει ήδη 3,000 λήψεις, από τη στιγμή που γράφονται αυτές οι γραμμές.
Μπορεί, τελικά, να μην είναι τίποτα περισσότερο από αυτό που λέει ότι είναι. Ωστόσο, οι ερευνητές από το ReversingLabs επισήμαναν το SqzrFramework480 ως ύποπτο σε μια νέα αναφορά, χάρη σε μια μέθοδο που είναι κρυμμένη στο εσωτερικό και φαίνεται να κάνει μάλλον κακόβουλα πράγματα: λήψη στιγμιότυπων οθόνης, άνοιγμα μιας υποδοχής και εξαγωγή δεδομένων σε μια κρυφή διεύθυνση IP.
Είναι το SqzrFramework480 ένα OT Backdoor;
Λογισμικό που αναπτύχθηκε από κινεζικές εταιρείες χρησιμοποιείται σε κακόβουλες επιθέσεις εφοδιαστικής αλυσίδας πριν, και απειλές στον κυβερνοχώρο για βιομηχανικά συστήματα δεν είναι καινούργια εκεί.
Είναι το SqzrFramework480 συνέχεια αυτών των τάσεων; Η απάντηση βρίσκεται στη μέθοδό του, "Init".
Η εργασία του Init ξεκινά κάνοντας ping σε μια απομακρυσμένη διεύθυνση IP. Αυτή η διεύθυνση IP αποθηκεύεται ως πίνακας byte, όπου κάθε byte είναι ένας χαρακτήρας με κωδικοποίηση ASCII.
Εάν το ping δεν είναι επιτυχές, το πρόγραμμα τίθεται σε αναστολή λειτουργίας και προσπαθεί ξανά 30 δευτερόλεπτα αργότερα. Εάν επιτύχει, ανοίγει μια υποδοχή και συνδέεται σε αυτήν τη διεύθυνση IP. Στη συνέχεια, παίρνει ένα στιγμιότυπο οθόνης της οθόνης στην οποία είναι εγκατεστημένη, τη συσκευάζει σε μια συστοιχία byte και τη στέλνει μέσω της υποδοχής.
Από τη μία πλευρά, υπέθεσαν οι ερευνητές, αυτό θα μπορούσε απλώς να είναι ένας μηχανισμός για τη ροή εικόνων από μια κάμερα Bozhon σε έναν σταθμό εργασίας. Αλλά ορισμένα συμφραζόμενα στοιχεία θολώνουν αυτή τη θεωρία.
Για ένα πράγμα, τα ονόματα και οι κλάσεις στο SqzrFramework480 τείνουν να έχουν μάλλον μη περιγραφικές ετικέτες. πουθενά, για παράδειγμα, δεν θα μπορούσε κανείς να συμπεράνει ότι καταγράφει στιγμιότυπα οθόνης. Και γιατί η διεύθυνση IP που κάνει ping είναι κρυμμένη ως byte; «Αυτό είναι ένα είδος ύποπτης ή ασυνήθιστης πρακτικής», σημειώνει ο Petar Kirhmajer, ο συντάκτης της έκθεσης. "Γιατί δεν θα συμπεριλάβετε απλώς την IP [σε απλό κείμενο];"
Εκτός από τα μήκη που έγιναν για να αποκρύψουν το Init, υπάρχει επίσης το γεγονός ότι το πακέτο καταχωρήθηκε από έναν μη περιγραφικό λογαριασμό NuGet του οποίου η μόνη προηγούμενη καταχώριση ήταν το "SqzrFramework480.Faker", μια συγκαλυμμένη έκδοση του SqzrFramework480.
Αντί για οποιοδήποτε όπλο καπνίσματος, το SqzrFramework480 παραμένει ζωντανό και διαθέσιμο για λήψη.
«Η πρότασή μου θα ήταν να μην εμπιστεύεστε κάθε πακέτο τυφλά», λέει ο Kirhmajer. «Αν μπορείτε, θα πρέπει να τα ελέγξετε μόνοι σας [με το χέρι]. Και αν δεν έχετε τους πόρους για να το κάνετε μόνοι σας, θα πρέπει να χρησιμοποιήσετε εργαλεία για να σαρώσετε αυτόματα αυτά τα πακέτα."
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 000
- 24
- 30
- 7
- a
- Λογαριασμός
- διεύθυνση
- ρύθμιση
- πάλι
- ήδη
- Επίσης
- an
- και
- απάντηση
- κάθε
- εμφανίζεται
- ΕΙΝΑΙ
- Παράταξη
- AS
- έλεγχος
- συγγραφέας
- αυτομάτως
- διαθέσιμος
- κερκόπορτα
- BE
- ήταν
- πριν
- αρχίζει
- με κλειστά μάτια
- αλλά
- by
- φωτογραφική μηχανή
- CAN
- συλλαμβάνει
- Καταγραφή
- ορισμένες
- αλυσίδα
- χαρακτήρας
- κινέζικο
- τάξεις
- CO
- Εταιρείες
- Διαμόρφωση
- συνδέει
- καταναλωτής
- συμφραζόμενα
- συνέχεια
- θα μπορούσε να
- δημιουργία
- ημερομηνία
- αναπτύχθηκε
- do
- κάνει
- Don
- κατεβάσετε
- λήψεις
- δυναμικός
- κάθε
- Ηλεκτρονική
- τέλος
- κατασκοπεία
- Κάθε
- απόδειξη
- παράδειγμα
- γεγονός
- Αρχεία
- σημαία
- Για
- από
- λειτουργίες
- πηγαίνει
- φύγει
- χέρι
- Έχω
- απόκρυψη
- HTTPS
- προσδιορίζονται
- if
- εικόνες
- in
- περιλαμβάνουν
- βιομηχανικές
- βιομηχανία
- μέσα
- εγκατασταθεί
- διεπαφές
- σε
- IP
- Διεύθυνση IP
- isn
- IT
- ΤΟΥ
- Ιανουάριος
- Δουλειά
- jpeg
- μόλις
- Είδος
- Ετικέτες
- αργότερα
- βιβλιοθήκες
- Βιβλιοθήκη
- βρίσκεται
- θέση
- LINK
- Εισηγμένες
- λίστα
- ζω
- μηχανή
- κακόβουλο
- malware
- διαχείριση
- χειροκίνητα
- Κατασκευαστής
- Ενδέχεται..
- μηχανισμός
- μέθοδος
- Παρακολούθηση
- περισσότερο
- κίνηση
- my
- ονόματα
- καθαρά
- Νέα
- Όχι.
- Notes
- πουθενά
- συσκοτισμένη
- of
- on
- ONE
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- άνοιγμα
- ανοίγει
- or
- ot
- πακέτο
- Packages
- ping σε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δημοφιλής
- πρακτική
- Ακρίβεια
- Πριν
- Πρόγραμμα
- μάλλον
- λείψανα
- μακρινός
- αναφέρουν
- Αποθήκη
- ερευνητές
- Υποστηρικτικό υλικό
- s
- λέει
- σάρωση
- screenshots
- δευτερόλεπτα
- φαίνεται
- αποστέλλει
- ρυθμίσεις
- θα πρέπει να
- απλά
- ύπνος
- Πηγή
- δήλωσε
- αποθηκεύονται
- ροής
- επιτύχει
- επιτυχής
- προμήθεια
- αλυσίδας εφοδιασμού
- ύποπτος
- παίρνει
- Τεχνολογίες
- Τεχνολογία
- Τείνουν
- από
- Ευχαριστώ
- ότι
- Η
- Τους
- τότε
- θεωρία
- Εκεί.
- Αυτοί
- πράγμα
- πράγματα
- αυτό
- εκείνοι
- απειλές
- Μέσω
- προς την
- εργαλεία
- Τάσεις
- Εμπιστευθείτε
- Ασυνήθης
- Φορτώθηκε
- χρήση
- Χρήστες
- διάφορα
- εκδοχή
- όραμα
- ήταν
- Τι
- του οποίου
- WHY
- εντός
- εργασίας
- θα
- θα ήθελα
- γραφή
- Εσείς
- τον εαυτό σας
- zephyrnet