I ricercatori hanno identificato un popolare pacchetto open source che potrebbe nascondere malware di spionaggio industriale.
"SqzrFramework480" è una libreria di collegamento dinamico (DLL) .NET che sembra appartenere a Bozhon Precision Industry Technology Co., un produttore cinese di elettronica di consumo e varie tecnologie industriali. Le funzioni dichiarate del file includono la gestione e la creazione di interfacce utente grafiche (GUI), l'inizializzazione e la configurazione delle librerie di visione artificiale, la regolazione delle impostazioni di movimento robotico e altro ancora. È stato caricato nel repository open source NuGet il 24 gennaio e ha già 3,000 download, al momento della stesura di questo articolo.
Alla fine potrebbe non essere niente di più di quello che dice di essere. Ma i ricercatori di ReversingLabs hanno segnalato SqzrFramework480 come sospetto in un nuovo rapporto, grazie a un metodo nascosto al suo interno che sembra fare cose piuttosto dannose: catturare screenshot, aprire un socket ed esfiltrare dati su un indirizzo IP nascosto.
SqzrFramework480 è una backdoor OT?
Il software sviluppato da aziende cinesi è stato utilizzati in attacchi dannosi alla catena di fornitura prima, e minacce informatiche ai sistemi industriali non sono una novità lì.
SqzrFramework480 è una continuazione di queste tendenze? La risposta sta nel suo metodo, “Init”.
Il lavoro di Init inizia eseguendo il ping di un indirizzo IP remoto. Questo indirizzo IP viene memorizzato come un array di byte, dove ogni byte è un carattere con codifica ASCII.
Se il ping non ha esito positivo, il programma va in modalità sospensione e riprova 30 secondi dopo. Se riesce, apre un socket e si connette a quell'indirizzo IP. Quindi acquisisce uno screenshot del monitor su cui è installato, lo impacchetta in un array di byte e lo invia tramite il socket.
Da un lato, hanno ipotizzato i ricercatori, questo potrebbe essere semplicemente un meccanismo per lo streaming di immagini da una fotocamera Bozhon a una workstation. Ma alcune prove contestuali confondono questa teoria.
Per prima cosa, i nomi e le classi all'interno di SqzrFramework480 tendono ad avere etichette piuttosto anonime; da nessuna parte, ad esempio, si potrebbe dedurre che catturi screenshot. E perché l'indirizzo IP che esegue il ping è nascosto come byte? "Si tratta di una pratica sospetta, se non insolita", osserva Petar Kirhmajer, l'autore del rapporto. "Perché non includere semplicemente l'IP [in chiaro]?"
Oltre agli sforzi compiuti per oscurare Init, c'è anche il fatto che il pacchetto è stato elencato da un account NuGet anonimo il cui unico elenco precedente era "SqzrFramework480.Faker", una versione oscurata di SqzrFramework480.
Al posto di qualsiasi prova schiacciante, SqzrFramework480 rimane attivo e disponibile per il download.
"Il mio suggerimento sarebbe quello di non fidarsi ciecamente di ogni pacco", afferma Kirhmajer. “Se puoi, dovresti controllarli tu stesso [manualmente]. E se non hai le risorse per farlo da solo, dovresti utilizzare strumenti per scansionare automaticamente quei pacchetti."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :ha
- :È
- :non
- :Dove
- $ SU
- 000
- 24
- 30
- 7
- a
- Il mio account
- indirizzo
- regolazione
- ancora
- già
- anche
- an
- ed
- rispondere
- in qualsiasi
- appare
- SONO
- Italia
- AS
- revisione
- autore
- automaticamente
- disponibile
- porta posteriore
- BE
- stato
- prima
- inizia
- ciecamente
- ma
- by
- stanza
- Materiale
- cattura
- Catturare
- certo
- catena
- carattere
- Cinese
- classi
- CO
- Aziende
- configurazione
- collega
- Consumer
- contestuale
- continuazione
- potuto
- Creazione
- dati
- sviluppato
- do
- effettua
- don
- scaricare
- download
- dinamico
- ogni
- Elettronica
- fine
- spionaggio
- Ogni
- prova
- esempio
- fatto
- Compila il
- contrassegnato
- Nel
- da
- funzioni
- va
- andato
- cura
- Avere
- nascondere
- HTTPS
- identificato
- if
- immagini
- in
- includere
- industriale
- industria
- interno
- installato
- interfacce
- ai miglioramenti
- IP
- Indirizzo IP
- ISN
- IT
- SUO
- Gen
- Lavoro
- jpeg
- ad appena
- Genere
- per il tuo brand
- dopo
- biblioteche
- Biblioteca
- si trova
- luogo
- LINK
- elencati
- annuncio
- vivere
- macchina
- maligno
- il malware
- gestione
- manualmente
- Costruttore
- Maggio..
- meccanismo
- metodo
- Monitorare
- Scopri di più
- movimento
- my
- nomi
- rete
- New
- no
- Note
- Da nessuna parte
- oscurato
- of
- on
- ONE
- esclusivamente
- aprire
- open source
- apertura
- apre
- or
- ot
- pacchetto
- Packages
- ping
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- pratica
- Precisione
- Precedente
- Programma
- piuttosto
- resti
- a distanza
- rapporto
- deposito
- ricercatori
- Risorse
- s
- dice
- scansione
- screenshot
- secondo
- sembra
- invia
- impostazioni
- dovrebbero
- semplicemente
- sonno
- Fonte
- ha dichiarato
- memorizzati
- Streaming
- avere successo
- di successo
- fornire
- supply chain
- sospettoso
- prende
- Tecnologie
- Tecnologia
- Tendono
- di
- Grazie
- che
- I
- Li
- poi
- teoria
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- cosa
- cose
- questo
- quelli
- minacce
- Attraverso
- a
- strumenti
- tendenze
- Affidati ad
- Raro
- caricato
- uso
- Utente
- vario
- versione
- visione
- Prima
- Che
- di chi
- perché
- entro
- stazione di lavoro
- sarebbe
- non lo farei
- scrittura
- Tu
- te stesso
- zefiro