A kutatók egy népszerű nyílt forráskódú csomagot azonosítottak, amely ipari kémprogramot rejthet.
Az „SqzrFramework480” egy .NET dinamikus hivatkozási könyvtár (DLL), amely úgy tűnik, hogy a Bozhon Precision Industry Technology Co.-hoz, a fogyasztói elektronikai cikkeket és különféle ipari technológiákat gyártó kínai gyártóhoz tartozik. A fájl megadott funkciói közé tartozik a grafikus felhasználói felületek (GUI) kezelése és létrehozása, a gépi látáskönyvtárak inicializálása és konfigurálása, a robotmozgás beállításainak módosítása stb. Január 24-én került fel a NuGet nyílt forráskódú tárházába, és az írás pillanatában már 3,000 letöltése van.
Lehet, hogy végül nem több, mint amit mond. A ReversingLabs kutatói azonban gyanúsként jelölték meg az SqzrFramework480-at egy új jelentésben, köszönhetően egy olyan módszernek, amely meglehetősen rosszindulatú tevékenységeket végez: képernyőképeket készít, socketet nyit, és adatokat szűr ki egy rejtett IP-címre.
Az SqzrFramework480 egy OT Backdoor?
Szoftver által kifejlesztett kínai vállalatok már rosszindulatú ellátási lánc támadásokhoz használják előtt, és kiberfenyegetések az ipari rendszerekre nem újak ott.
Az SqzrFramework480 ezeknek a trendeknek a folytatása? A válasz az „Init” módszerében rejlik.
Az Init feladata egy távoli IP-cím pingelésével kezdődik. Ez az IP-cím bájttömbként kerül tárolásra, ahol minden bájt egy ASCII-kódolású karakter.
Ha a ping nem sikeres, a program elalszik, és 30 másodperc múlva újra próbálkozik. Ha ez sikerül, akkor nyit egy aljzatot, és csatlakozik az IP-címhez. Ezután készít egy képernyőképet a monitorról, amelyre telepítve van, egy bájttömbbe csomagolja, és elküldi a foglalaton keresztül.
Egyrészt a kutatók szerint ez egyszerűen egy olyan mechanizmus lehet, amellyel egy Bozhon-kameráról a munkaállomásra küldhetők a képek. De bizonyos kontextuális bizonyítékok megzavarják ezt az elméletet.
Egyrészt az SqzrFramework480-on belüli nevek és osztályok általában nem leírható címkékkel rendelkeznek; sehol például nem lehetett arra következtetni, hogy képernyőképeket készít. És miért van bájtként elrejtve a pingelt IP-cím? „Ez egyfajta gyanús vagy szokatlan gyakorlat” – jegyzi meg Petar Kirhmajer, a jelentés szerzője. "Miért nem adja meg az IP-t [egyszerű szövegben]?"
Az Init elhomályosítása mellett az is megvan, hogy a csomagot egy nem leírható NuGet-fiók listázta, amelynek egyetlen korábbi listája az „SqzrFramework480.Faker” volt, az SqzrFramework480 homályos verziója.
Bármilyen füstölgő fegyver helyett az SqzrFramework480 továbbra is elérhető és letölthető.
„Az lenne a javaslatom, hogy ne bízzunk vakon minden csomagban” – mondja Kirhmajer. „Ha teheted, saját magadnak kell auditálnia őket [manuálisan]. És ha nincs elegendő erőforrása ahhoz, hogy ezt saját maga végezze el, olyan eszközöket kell használnia, amelyek automatikusan átvizsgálják ezeket a csomagokat.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :van
- :is
- :nem
- :ahol
- $ UP
- 000
- 24
- 30
- 7
- a
- Fiók
- cím
- szabályozó
- újra
- már
- Is
- an
- és a
- válasz
- bármilyen
- Megjelenik
- VANNAK
- Sor
- AS
- könyvvizsgálat
- szerző
- automatikusan
- elérhető
- hátsó ajtó
- BE
- óta
- előtt
- elkezdődik
- vakon
- de
- by
- szoba
- TUD
- fogások
- Rögzítése
- bizonyos
- lánc
- karakter
- kínai
- osztályok
- CO
- Companies
- konfigurálása
- összeköt
- fogyasztó
- szövegre vonatkozó
- folytatás
- tudott
- létrehozása
- dátum
- fejlett
- do
- nem
- Don
- letöltés
- letöltések
- dinamikus
- minden
- Elektronika
- végén
- kémkedés
- Minden
- bizonyíték
- példa
- tény
- filé
- megjelölve
- A
- ból ből
- funkciók
- Goes
- elmúlt
- kéz
- Legyen
- bujkál
- HTTPS
- azonosított
- if
- képek
- in
- tartalmaz
- ipari
- ipar
- belső
- telepítve
- interfészek
- bele
- IP
- IP-cím
- Hát
- IT
- ITS
- január
- Munka
- jpeg
- éppen
- Kedves
- Címkék
- a későbbiekben
- könyvtárak
- könyvtár
- fekszik
- hely
- LINK
- Listázott
- felsorolás
- él
- gép
- rosszindulatú
- malware
- kezelése
- kézzel
- Gyártó
- Lehet..
- mechanizmus
- módszer
- monitor
- több
- mozgalom
- my
- nevek
- háló
- Új
- nem
- Megjegyzések
- most itt
- kitakart
- of
- on
- ONE
- csak
- nyitva
- nyílt forráskódú
- nyitás
- nyit
- or
- ot
- csomag
- csomagok
- fütyülés
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- gyakorlat
- Pontosság
- Előzetes
- Program
- Inkább
- maradványok
- távoli
- jelentést
- raktár
- kutatók
- Tudástár
- s
- azt mondja,
- beolvasás
- screenshotok
- másodperc
- Úgy tűnik,
- küld
- beállítások
- kellene
- egyszerűen
- alvás
- forrás
- meghatározott
- memorizált
- folyó
- sikerül
- sikeres
- kínálat
- ellátási lánc
- gyanús
- tart
- Technologies
- Technológia
- Inkább
- mint
- Kösz
- hogy
- A
- Őket
- akkor
- elmélet
- Ott.
- Ezek
- dolog
- dolgok
- ezt
- azok
- fenyegetések
- Keresztül
- nak nek
- szerszámok
- Trends
- Bízzon
- Ritka
- feltöltve
- használ
- használó
- különféle
- változat
- látomás
- volt
- Mit
- akinek
- miért
- belül
- munkaállomás
- lenne
- nem
- írás
- te
- magad
- zephyrnet