Les chercheurs ont identifié un package open source populaire qui pourrait cacher des logiciels malveillants d'espionnage industriel.
« SqzrFramework480 » est une bibliothèque de liens dynamiques (DLL) .NET qui semble appartenir à Bozhon Precision Industry Technology Co., un fabricant chinois d'électronique grand public et de diverses technologies industrielles. Les fonctions déclarées du fichier incluent la gestion et la création d'interfaces utilisateur graphiques (GUI), l'initialisation et la configuration des bibliothèques de vision industrielle, l'ajustement des paramètres de mouvement robotique, et bien plus encore. Il a été téléchargé sur le référentiel open source NuGet le 24 janvier et compte déjà 3,000 XNUMX téléchargements au moment d'écrire ces lignes.
En fin de compte, il se peut qu’il ne soit rien de plus que ce qu’il prétend être. Mais les chercheurs de ReversingLabs ont signalé SqzrFramework480 comme suspect dans un nouveau rapport, grâce à une méthode enfouie à l'intérieur qui semble faire des choses plutôt malveillantes : capturer des captures d'écran, ouvrir un socket et exfiltrer des données vers une adresse IP cachée.
SqzrFramework480 est-il une porte dérobée OT ?
Des logiciels développés par des entreprises chinoises ont été utilisé dans des attaques malveillantes de la chaîne d’approvisionnement avant, et cybermenaces contre les systèmes industriels ne sont pas nouveaux là-bas.
SqzrFramework480 s’inscrit-il dans la continuité de ces tendances ? La réponse réside dans sa méthode « Init ».
Le travail d'Init commence par envoyer une requête ping à une adresse IP distante. Cette adresse IP est stockée sous forme de tableau d'octets, où chaque octet est un caractère codé en ASCII.
Si le ping échoue, le programme se met en veille et réessaye 30 secondes plus tard. S'il réussit, il ouvre un socket et se connecte à cette adresse IP. Ensuite, il prend une capture d'écran du moniteur sur lequel il est installé, le conditionne dans un tableau d'octets et l'envoie via le socket.
D’une part, selon les chercheurs, il pourrait s’agir simplement d’un mécanisme permettant de diffuser des images d’une caméra Bozhon vers un poste de travail. Mais certaines preuves contextuelles brouillent cette théorie.
D'une part, les noms et les classes dans SqzrFramework480 ont tendance à avoir des étiquettes plutôt indescriptibles ; nulle part, par exemple, on ne pourrait déduire qu’il capture des captures d’écran. Et pourquoi l’adresse IP envoyée par ping est-elle cachée sous forme d’octet ? "C'est une sorte de pratique suspecte, voire rare", note Petar Kirhmajer, l'auteur du rapport. "Pourquoi n'incluriez-vous pas simplement l'adresse IP [en clair] ?"
Outre les efforts déployés pour obscurcir Init, il y a aussi le fait que le package a été répertorié par un compte NuGet quelconque dont la seule liste antérieure était « SqzrFramework480.Faker », une version obscurcie de SqzrFramework480.
Au lieu de toute arme fumante, SqzrFramework480 reste en ligne et disponible en téléchargement.
« Ma suggestion serait de ne pas faire aveuglément confiance à chaque paquet », déclare Kirhmajer. « Si vous le pouvez, vous devriez les auditer vous-même [manuellement]. Et si vous ne disposez pas des ressources nécessaires pour le faire vous-même, vous devez utiliser des outils pour analyser automatiquement ces packages.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :possède
- :est
- :ne pas
- :où
- $UP
- 000
- 24
- 30
- 7
- a
- Compte
- propos
- réglage
- encore
- déjà
- aussi
- an
- ainsi que
- répondre
- tous
- apparaît
- SONT
- tableau
- AS
- audit
- auteur
- automatiquement
- disponibles
- détourné
- BE
- était
- before
- commence
- aveuglément
- mais
- by
- appareil photo
- CAN
- captures
- Capturer
- certaines
- chaîne
- caractère
- chinois
- les classes
- CO
- Sociétés
- Configurer
- connecte
- consommateur
- contextuel
- continuation
- pourriez
- La création
- données
- développé
- do
- Don
- download
- téléchargements
- Dynamic
- chacun
- Electronique
- fin
- espionnage
- Chaque
- preuve
- exemple
- fait
- Déposez votre dernière attestation
- marqué
- Pour
- De
- fonctions
- Goes
- disparu
- main
- Vous avez
- cacher
- HTTPS
- identifié
- if
- satellite
- in
- comprendre
- industriel
- industrie
- à l'intérieur
- Installé
- interfaces
- développement
- IP
- IP dédiée
- ISN
- IT
- SES
- Janvier
- Emploi
- jpeg
- juste
- Genre
- Etiquettes
- plus tard
- bibliothèques
- Bibliothèque
- se trouve
- lieu
- LINK
- Listé
- inscription
- le travail
- click
- malveillant
- malware
- les gérer
- manuellement
- Fabricants
- Mai..
- mécanisme
- méthode
- Surveiller
- PLUS
- mouvement
- my
- noms
- net
- Nouveauté
- aucune
- Notes
- nulle part
- obscurci
- of
- on
- ONE
- uniquement
- ouvert
- open source
- ouverture
- ouvre
- or
- ot
- paquet
- Forfaits
- ping
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- pratique
- La précision
- Avant
- Programme
- plutôt
- reste
- éloigné
- rapport
- dépôt
- chercheurs
- Resources
- s
- dit
- balayage
- screenshots
- secondes
- semble
- envoie
- Paramétres
- devrait
- simplement
- sleep
- Identifier
- A déclaré
- stockée
- streaming
- réussir
- réussi
- la quantité
- chaîne d'approvisionnement
- soupçonneux
- prend
- Les technologies
- Technologie
- Avoir tendance
- que
- Merci
- qui
- La
- Les
- puis
- théorie
- Là.
- Ces
- chose
- des choses
- this
- ceux
- des menaces
- Avec
- à
- les outils
- Trends
- La confiance
- Rare
- téléchargé
- utilisé
- Utilisateur
- divers
- version
- vision
- était
- Quoi
- dont
- why
- dans les
- poste de travail
- pourra
- serait pas
- écriture
- Vous n'avez
- vous-même
- zéphyrnet