Tutkijat ovat tunnistaneet suositun avoimen lähdekoodin paketin, joka saattaa piilottaa teollisuusvakoilun haittaohjelmia.
"SqzrFramework480" on .NET dynaaminen linkkikirjasto (DLL), joka näyttää liittyvän Bozhon Precision Industry Technology Co.:lle, kiinalaiselle kulutuselektroniikan ja erilaisten teollisuustekniikoiden valmistajalle. Tiedoston ilmoitettuihin toimintoihin kuuluu graafisten käyttöliittymien (GUI) hallinta ja luominen, konenäkökirjastojen alustus ja konfigurointi, robottien liikeasetusten säätäminen ja paljon muuta. Se ladattiin NuGet avoimen lähdekoodin arkistoon 24. tammikuuta ja sillä on jo 3,000 XNUMX latausta tätä kirjoitettaessa.
Se voi loppujen lopuksi olla vain sitä, mitä se sanoo olevansa. Mutta ReversingLabsin tutkijat ilmoittivat SqzrFramework480:n epäilyttäväksi uudessa raportissa, kiitos menetelmän, joka on haudattu sisään ja joka näyttää tekevän melko haitallisia asioita: kaappaamalla kuvakaappauksia, avaavan pistorasian ja suodattavan tietoja piilotettuun IP-osoitteeseen.
Onko SqzrFramework480 OT-takaovi?
Kiinalaisten yritysten kehittämä ohjelmisto on ollut käytetään haitallisissa toimitusketjuhyökkäyksissä ennen ja kyberuhat teollisiin järjestelmiin eivät ole uusia siellä.
Onko SqzrFramework480 jatkoa näille trendeille? Vastaus löytyy sen menetelmästä "Init".
Initin työ alkaa pingamalla etä-IP-osoite. Tämä IP-osoite tallennetaan tavutaulukkona, jossa jokainen tavu on ASCII-koodattu merkki.
Jos ping ei onnistu, ohjelma menee lepotilaan ja yrittää uudelleen 30 sekunnin kuluttua. Jos se onnistuu, se avaa pistorasian ja muodostaa yhteyden kyseiseen IP-osoitteeseen. Sitten se ottaa kuvakaappauksen näytöstä, johon se on asennettu, pakkaa sen tavuryhmään ja lähettää sen pistorasian kautta.
Toisaalta tutkijat väittivät, että tämä voisi olla yksinkertaisesti mekanismi kuvien suoratoistoon Bozhon-kamerasta työasemalle. Mutta tietyt asiayhteyteen perustuvat todisteet horjuttavat tätä teoriaa.
Ensinnäkin SqzrFramework480:n nimillä ja luokilla on yleensä melko epäselviä otsikoita; Missään ei esimerkiksi voitu päätellä, että se kaappaa kuvakaappauksia. Ja miksi sen pingaama IP-osoite on piilotettu tavuksi? "Se on eräänlainen epäilyttävä tai epätavallinen käytäntö", toteaa raportin kirjoittaja Petar Kirhmajer. "Miksi et vain sisällyttäisi IP-osoitetta [selkotekstinä]?"
Sen lisäksi, että Init on mennyt hämärän peittoon, on myös se tosiasia, että paketin listasi epäselvä NuGet-tili, jonka ainoa aiempi listaus oli "SqzrFramework480.Faker", SqzrFramework480:n peitetty versio.
Tupakoivan aseen sijaan SqzrFramework480 on edelleen saatavilla ja ladattavissa.
"Ehdotukseni olisi olla luottamatta jokaiseen pakettiin sokeasti", Kirhmajer sanoo. "Jos voit, sinun tulee auditoida ne itse [manuaalisesti]. Ja jos sinulla ei ole resursseja tehdä sitä itse, sinun tulee käyttää työkaluja näiden pakettien automaattiseen skannaukseen."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 000
- 24
- 30
- 7
- a
- Tili
- osoite
- säätämällä
- uudelleen
- jo
- Myös
- an
- ja
- vastaus
- Kaikki
- näyttää
- OVAT
- Ryhmä
- AS
- tilintarkastus
- kirjoittaja
- automaattisesti
- saatavissa
- takaoven
- BE
- ollut
- ennen
- alkaa
- sokeasti
- mutta
- by
- kamera
- CAN
- kaappaa
- Kaappaaminen
- tietty
- ketju
- merkki
- kiinalainen
- luokat
- CO
- Yritykset
- konfigurointi
- Yhdistää
- kuluttaja
- asiayhteyteen
- jatkaminen
- voisi
- Luominen
- tiedot
- kehitetty
- do
- ei
- Don
- download
- lataukset
- dynaaminen
- kukin
- Elektroniikka
- loppu
- vakoilu
- Joka
- näyttö
- esimerkki
- tosiasia
- filee
- Merkityt
- varten
- alkaen
- tehtävät
- Goes
- poissa
- käsi
- Olla
- piilottaminen
- HTTPS
- tunnistettu
- if
- kuvien
- in
- sisältää
- teollinen
- teollisuus
- sisällä
- asennetaan
- rajapinnat
- tulee
- IP
- IP-osoite
- ISN
- IT
- SEN
- Johannes
- Job
- jpeg
- vain
- laji
- tarrat
- myöhemmin
- kirjastot
- Kirjasto
- piilee
- lieu
- LINK
- lueteltu
- listaus
- elää
- kone
- ilkeä
- haittaohjelmat
- toimitusjohtaja
- käsin
- Valmistaja
- Saattaa..
- mekanismi
- menetelmä
- monitori
- lisää
- liike
- my
- nimet
- netto
- Uusi
- Nro
- Huomautuksia
- ei mihinkään
- hämärtyy
- of
- on
- ONE
- vain
- avata
- avoimen lähdekoodin
- avaaminen
- avautuu
- or
- ot
- paketti
- paketit
- ping
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- harjoitusta.
- Tarkkuus
- Aikaisempi
- Ohjelma
- pikemminkin
- jäännökset
- kaukosäädin
- raportti
- säilytyspaikka
- Tutkijat
- Esittelymateriaalit
- s
- sanoo
- skannata
- kuvakaappauksia
- sekuntia
- näyttää
- lähettää
- settings
- shouldnt
- yksinkertaisesti
- nukkua
- lähde
- totesi
- tallennettu
- streaming
- menestyä
- onnistunut
- toimittaa
- toimitusketju
- epäilyttävä
- vie
- Technologies
- Elektroniikka
- taipumus
- kuin
- Kiitos
- että
- -
- Niitä
- sitten
- teoria
- Siellä.
- Nämä
- asia
- asiat
- tätä
- ne
- uhat
- Kautta
- että
- työkalut
- Trendit
- Luottamus
- harvinainen
- ladattu
- käyttää
- käyttäjä
- eri
- versio
- visio
- oli
- Mitä
- jonka
- miksi
- sisällä
- työasema
- olisi
- ei
- kirjoittaminen
- Voit
- itse
- zephyrnet