Teadlased on tuvastanud populaarse avatud lähtekoodiga paketi, mis võib peita tööstusspionaaži pahavara.
"SqzrFramework480" on .NET-i dünaamiline lingiteek (DLL), mis näib olevat seotud Hiina tarbeelektroonika ja erinevate tööstustehnoloogiate tootjaga Bozhon Precision Industry Technology Co. Failis märgitud funktsioonid hõlmavad graafiliste kasutajaliideste (GUI) haldamist ja loomist, masinnägemise teekide lähtestamist ja konfigureerimist, roboti liikumise seadete reguleerimist ja palju muud. See laaditi NuGeti avatud lähtekoodiga hoidlasse üles 24. jaanuaril ja selle kirjutamise seisuga on sellel juba 3,000 allalaadimist.
Lõppkokkuvõttes ei pruugi see olla enamat kui see, mida ta ütleb. Kuid ReversingLabsi teadlased märkisid SqzrFramework480 uues aruandes kahtlasena, tänu sisse maetud meetodile, mis näib tegevat üsna pahatahtlike asjadega: ekraanipiltide jäädvustamine, pistikupesa avamine ja andmete väljafiltreerimine varjatud IP-aadressile.
Kas SqzrFramework480 on OT tagauks?
Hiina ettevõtete väljatöötatud tarkvara on olnud kasutatakse pahatahtlike tarneahela rünnakute korral enne ja küberohud tööstussüsteemidele pole seal uued.
Kas SqzrFramework480 on nende suundumuste jätk? Vastus peitub selle meetodis "Init".
Initi töö algab kaug-IP-aadressi pingimisega. See IP-aadress salvestatakse baitimassiivina, kus iga bait on ASCII-kodeeringuga märk.
Kui ping ei õnnestu, lülitub programm magama ja proovib 30 sekundi pärast uuesti. Kui see õnnestub, avab see pistikupesa ja loob ühenduse selle IP-aadressiga. Seejärel teeb see ekraanipildi monitorist, millele see on installitud, pakib selle baitide massiivi ja saadab selle pistikupesa kaudu.
Ühest küljest väitsid teadlased, et see võib lihtsalt olla mehhanism piltide voogesitamiseks Bozhoni kaamerast tööjaama. Kuid teatud kontekstuaalsed tõendid rikuvad selle teooria.
Esiteks kipuvad SqzrFramework480 nimedel ja klassidel olema pigem mittekirjeldavad sildid; kusagilt ei saanud näiteks järeldada, et see jäädvustab ekraanipilte. Ja miks on selle pingitav IP-aadress baitina peidetud? "See on omamoodi kahtlane või ebatavaline tava," märgib raporti autor Petar Kirhmajer. "Miks te ei võiks lisada IP-d [lihttekstina]?"
Lisaks Initi varjamisele kulunud pikkusele on ka tõsiasi, et pakett oli loetletud mittekirjeldava NuGeti konto kaudu, mille ainus eelnev loend oli "SqzrFramework480.Faker", mis on SqzrFramework480 varjatud versioon.
Suitseva relva asemel jääb SqzrFramework480 aktiivseks ja allalaadimiseks saadavale.
"Minu soovitus oleks mitte usaldada pimesi iga pakki," ütleb Kirhmajer. "Kui saate, peaksite neid ise [käsitsi] auditeerima. Ja kui teil pole ressursse, et seda ise teha, peaksite kasutama tööriistu nende pakettide automaatseks skannimiseks.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :on
- :on
- :mitte
- : kus
- $ UP
- 000
- 24
- 30
- 7
- a
- konto
- aadress
- kohandamine
- jälle
- juba
- Ka
- an
- ja
- vastus
- mistahes
- ilmub
- OLEME
- Array
- AS
- audit
- autor
- automaatselt
- saadaval
- tagauks
- BE
- olnud
- enne
- algab
- pimesi
- kuid
- by
- kaamera
- CAN
- lööb
- Püüdmine
- kindel
- kett
- iseloom
- hiina
- klassid
- CO
- Ettevõtted
- seadistamine
- ühendab
- tarbija
- kontekstuaalne
- jätkamine
- võiks
- loomine
- andmed
- arenenud
- do
- ei
- don
- lae alla
- allalaadimine
- dünaamiline
- iga
- Elektroonika
- lõpp
- spionaaž
- Iga
- tõend
- näide
- asjaolu
- fail
- märgistatud
- eest
- Alates
- funktsioonid
- Goes
- läinud
- käsi
- Olema
- varjamine
- HTTPS
- tuvastatud
- if
- pildid
- in
- sisaldama
- tööstus-
- tööstus
- sees
- paigaldatud
- liidesed
- sisse
- IP
- IP-aadress
- pole
- IT
- ITS
- John
- töö
- jpeg
- lihtsalt
- Laps
- Labels
- pärast
- raamatukogud
- Raamatukogu
- peitub
- koht
- LINK
- Loetletud
- loetelu
- elama
- masin
- pahatahtlik
- malware
- juhtiv
- käsitsi
- Tootja
- mai..
- mehhanism
- meetod
- Jälgida
- rohkem
- liikumine
- my
- nimed
- neto
- Uus
- ei
- märkused
- mitte kuskil
- varjatud
- of
- on
- ONE
- ainult
- avatud
- avatud lähtekoodiga
- avamine
- Avaneb
- or
- ot
- pakend
- pakette
- ping
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- tava
- Täpsus
- Eelnev
- Programm
- pigem
- jäänused
- kauge
- aru
- Hoidla
- Teadlased
- Vahendid
- s
- ütleb
- skaneerida
- ekraanipilte
- sekundit
- tundub
- saadab
- seaded
- peaks
- lihtsalt
- uni
- allikas
- väljendatud
- ladustatud
- streaming
- edukas
- edukas
- varustama
- tarneahelas
- kahtlane
- võtab
- Tehnoloogiad
- Tehnoloogia
- kipuvad
- kui
- tänan
- et
- .
- Neile
- SIIS
- teooria
- Seal.
- Need
- asi
- asjad
- see
- need
- ähvardused
- Läbi
- et
- töövahendid
- Trends
- Usalda
- Aeg-ajalt
- laetud
- kasutama
- Kasutaja
- eri
- versioon
- nägemus
- oli
- M
- kelle
- miks
- jooksul
- töökoht
- oleks
- ei tahaks
- kirjutamine
- sa
- ise
- sephyrnet