Para peneliti telah mengidentifikasi paket open source populer yang mungkin menyembunyikan malware spionase industri.
โSqzrFramework480โ adalah pustaka tautan dinamis (DLL) .NET yang tampaknya berkaitan dengan Bozhon Precision Industry Technology Co., produsen elektronik konsumen dan berbagai teknologi industri Tiongkok. Fungsi file yang dinyatakan termasuk mengelola dan membuat antarmuka pengguna grafis (GUI), menginisialisasi dan mengonfigurasi perpustakaan visi mesin, menyesuaikan pengaturan gerakan robot, dan banyak lagi. Itu diunggah ke repositori sumber terbuka NuGet pada 24 Januari dan sudah memiliki 3,000 unduhan, hingga tulisan ini dibuat.
Pada akhirnya, mungkin tidak lebih dari apa yang dikatakannya. Namun para peneliti dari ReversingLabs menandai SqzrFramework480 sebagai mencurigakan dalam sebuah laporan baru, berkat metode yang tertanam di dalamnya yang tampaknya melakukan hal-hal yang cukup berbahaya: menangkap tangkapan layar, membuka soket, dan mengeksfiltrasi data ke alamat IP yang tersembunyi.
Apakah SqzrFramework480 merupakan Pintu Belakang OT?
Perangkat lunak yang dikembangkan oleh perusahaan Cina telah digunakan dalam serangan rantai pasokan berbahaya sebelumnya, dan ancaman dunia maya terhadap sistem industri bukanlah orang baru di sana.
Apakah SqzrFramework480 merupakan kelanjutan dari tren ini? Jawabannya terletak pada metodenya, โInit.โ
Pekerjaan Init dimulai dengan melakukan ping ke alamat IP jarak jauh. Alamat IP ini disimpan sebagai array byte, di mana setiap byte adalah karakter yang dikodekan ASCII.
Jika ping tidak berhasil, program akan tertidur dan mencoba lagi 30 detik kemudian. Jika berhasil, ia akan membuka soket dan menghubungkan ke alamat IP tersebut. Kemudian ia mengambil tangkapan layar dari monitor tempat ia diinstal, mengemasnya ke dalam array byte, dan mengirimkannya melalui soket.
Di satu sisi, para peneliti berpendapat, ini bisa jadi merupakan mekanisme untuk mengalirkan gambar dari kamera Bozhon ke stasiun kerja. Namun bukti kontekstual tertentu mengaburkan teori tersebut.
Salah satu alasannya adalah nama dan kelas dalam SqzrFramework480 cenderung memiliki label yang tidak mencolok; tidak ada tempat, misalnya, yang dapat menyimpulkan bahwa ia menangkap tangkapan layar. Dan mengapa alamat IP yang di-pingnya disembunyikan sebagai byte? โIni merupakan praktik yang mencurigakan atau tidak biasa,โ kata Petar Kirhmajer, penulis laporan tersebut. โMengapa Anda tidak memasukkan IP saja [dalam teks biasa]?โ
Selain panjangnya yang mengaburkan Init, ada juga fakta bahwa paket tersebut terdaftar oleh akun NuGet yang tidak mencolok yang satu-satunya daftar sebelumnya adalah "SqzrFramework480.Faker," versi SqzrFramework480 yang tidak jelas.
Sebagai pengganti senjata apa pun, SqzrFramework480 tetap aktif dan tersedia untuk diunduh.
โSaran saya adalah jangan mempercayai setiap paket secara membabi buta,โ kata Kirhmajer. โKalau bisa, sebaiknya diaudit sendiri [manual]. Dan jika Anda tidak memiliki sumber daya untuk melakukannya sendiri, Anda harus menggunakan alat untuk memindai paket-paket tersebut secara otomatis.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 000
- 24
- 30
- 7
- a
- Akun
- alamat
- menyesuaikan
- lagi
- sudah
- juga
- an
- dan
- menjawab
- Apa pun
- muncul
- ADALAH
- susunan
- AS
- Audit
- penulis
- secara otomatis
- tersedia
- pintu belakang
- BE
- menjadi
- sebelum
- dimulai
- secara membabi buta
- tapi
- by
- kamar
- CAN
- menangkap
- Menangkap
- tertentu
- rantai
- karakter
- Cina
- kelas-kelas
- CO
- Perusahaan
- mengkonfigurasi
- menghubungkan
- konsumen
- kontekstual
- kelanjutan
- bisa
- membuat
- data
- dikembangkan
- do
- tidak
- don
- Download
- download
- dinamis
- setiap
- Elektronik
- akhir
- spionase
- Setiap
- bukti
- contoh
- fakta
- File
- ditandai
- Untuk
- dari
- fungsi
- Pergi
- mati
- tangan
- Memiliki
- persembunyian
- HTTPS
- diidentifikasi
- if
- gambar
- in
- memasukkan
- industri
- industri
- dalam
- diinstal
- interface
- ke
- IP
- Alamat IP
- adalah n
- IT
- NYA
- jan
- Pekerjaan
- jpeg
- hanya
- Jenis
- Label
- kemudian
- perpustakaan
- Perpustakaan
- terletak
- tempat
- LINK
- Daftar
- daftar
- hidup
- mesin
- jahat
- malware
- pelaksana
- manual
- Pabrikan
- Mungkin..
- mekanisme
- metode
- Memantau
- lebih
- gerakan
- my
- nama
- bersih
- New
- tidak
- Catatan
- tempat
- dikaburkan
- of
- on
- ONE
- hanya
- Buka
- open source
- pembukaan
- membuka
- or
- ot
- paket
- paket
- ping
- plato
- Kecerdasan Data Plato
- Data Plato
- Populer
- praktek
- Ketelitian
- Sebelumnya
- program
- agak
- sisa
- terpencil
- melaporkan
- gudang
- peneliti
- Sumber
- s
- mengatakan
- pemindaian
- screenshot
- detik
- tampaknya
- mengirimkan
- pengaturan
- harus
- hanya
- tidur
- sumber
- menyatakan
- tersimpan
- Streaming
- berhasil
- sukses
- menyediakan
- supply chain
- mencurigakan
- Dibutuhkan
- Teknologi
- Teknologi
- Cenderung
- dari
- Terima kasih
- bahwa
- Grafik
- Mereka
- kemudian
- teori
- Sana.
- Ini
- hal
- hal
- ini
- itu
- ancaman
- Melalui
- untuk
- alat
- Tren
- Kepercayaan
- Luar biasa
- upload
- menggunakan
- Pengguna
- berbagai
- versi
- penglihatan
- adalah
- Apa
- yang
- mengapa
- dalam
- workstation
- akan
- tidak akan
- penulisan
- Kamu
- diri
- zephyrnet.dll