研究者らは、産業スパイマルウェアを隠している可能性がある人気のオープンソース パッケージを特定しました。
「SqzrFramework480」は、中国の家庭用電化製品およびさまざまな産業技術のメーカーであるBozhon Precision Industry Technology Co. に関連していると思われる .NET ダイナミック リンク ライブラリ (DLL) です。このファイルに記載されている機能には、グラフィカル ユーザー インターフェイス (GUI) の管理と作成、マシン ビジョン ライブラリの初期化と構成、ロボットの動作設定の調整などが含まれます。これは 24 月 3,000 日に NuGet オープン ソース リポジトリにアップロードされ、この記事の執筆時点ですでに XNUMX 回ダウンロードされています。
結局のところ、それは言われている以上のものではないかもしれません。しかし、ReversingLabs の研究者らは、新しいレポートで SqzrFramework480 に不審なフラグを立てました。これは、スクリーンショットのキャプチャ、ソケットのオープン、隠蔽された IP アドレスへのデータの流出など、かなり悪意のあることを行うように見えるメソッドが内部に埋め込まれているためです。
SqzrFramework480 は OT バックドアですか?
中国企業が開発したソフトウェアは、 悪意のあるサプライチェーン攻撃に使用される 前に、そして 産業システムに対するサイバー脅威 そこには新しいことではありません。
SqzrFramework480 はこれらの傾向の継続ですか?答えはそのメソッド「Init」にあります。
Init のジョブは、リモート IP アドレスに ping を送信することで始まります。この IP アドレスはバイト配列として保存され、各バイトは ASCII でエンコードされた文字です。
ping が成功しない場合、プログラムはスリープ状態になり、30 秒後に再試行します。成功した場合は、ソケットを開いてその IP アドレスに接続します。次に、インストールされているモニターのスクリーンショットを取得し、それをバイト配列にパッケージ化し、ソケット経由で送信します。
研究者らは、一方では、これは単に Bozhon カメラからワークステーションに画像をストリーミングするためのメカニズムである可能性があると主張しました。しかし、特定の状況証拠がその理論を曖昧にします。
まず、SqzrFramework480 内の名前とクラスには、あまり目立たないラベルが付けられる傾向があります。たとえば、スクリーンショットをキャプチャすることはどこにも推測できません。そして、なぜ ping を送信する IP アドレスがバイトとして隠蔽されるのでしょうか? 「これは一種の疑わしい、あるいは珍しい行為です」と報告書の著者であるペタル・キルマイエル氏は指摘する。 「なぜ IP を [平文で] 含めないのですか?」
Init を隠蔽するために費やされた長さに加えて、このパッケージは、SqzrFramework480 の隠蔽されたバージョンである「SqzrFramework480.Faker」だけが以前にリストされていた、何の変哲もない NuGet アカウントによってリストされていたという事実もあります。
決定的な武器の代わりに、SqzrFramework480 は生き続けており、ダウンロード可能です。
「私の提案は、すべてのパッケージを盲目的に信頼しないことです」とキルマジャー氏は言います。 「可能であれば、自分で[手動で]監査する必要があります。また、自分で行うためのリソースがない場合は、それらのパッケージを自動的にスキャンするツールを使用する必要があります。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :持っている
- :は
- :not
- :どこ
- $UP
- 000
- 24
- 30
- 7
- a
- 住所
- 調整の
- 再び
- 既に
- また
- an
- および
- 回答
- どれか
- 登場する
- です
- 配列
- AS
- 監査
- 著者
- 自動的に
- 利用できます
- 裏口
- BE
- き
- 始まります
- やみくもに
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- カメラ
- 缶
- キャプチャ
- キャプチャ
- 一定
- チェーン
- 文字
- 中国語
- クラス
- CO
- 企業
- 構成する
- コネクト
- consumer
- 文脈上の
- 継続
- 可能性
- 作成
- データ
- 発展した
- do
- ありません
- ドン
- ダウンロード
- ダウンロード
- ダイナミック
- 各
- 電子
- end
- スパイ
- あらゆる
- 証拠
- 例
- 実際
- File
- フラグが立てられた
- から
- 機能
- ゴエス
- 行って
- ハンド
- 持ってる
- 隠蔽
- HTTPS
- 特定され
- if
- 画像
- in
- include
- インダストリアル
- 産業を変えます
- 内部
- インストール
- インターフェース
- に
- IP
- IPアドレス
- ISN
- IT
- ITS
- ジョン
- ジョブ
- JPEG
- ただ
- 種類
- ラベル
- 後で
- ライブラリ
- 図書館
- ある
- 代わり
- LINK
- リストされた
- リスト
- ライブ
- 機械
- 悪意のある
- マルウェア
- 管理する
- 手動で
- メーカー
- 五月..
- メカニズム
- 方法
- モニター
- 他には?
- 運動
- my
- 名
- net
- 新作
- いいえ
- ノート
- どこにも
- ぼやけた
- of
- on
- ONE
- の
- 開いた
- オープンソース
- 開設
- 開きます
- or
- ot
- パッケージ
- パッケージ
- ping
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 練習
- 精度
- 事前の
- 演奏曲目
- むしろ
- 残っている
- リモート
- レポート
- 倉庫
- 研究者
- リソース
- s
- 言う
- スキャン
- スクリーンショット
- 秒
- と思われる
- 送る
- 設定
- すべき
- 単に
- 眠る
- ソース
- 明記
- 保存され
- ストリーミング
- 成功する
- 成功した
- 供給
- サプライチェーン
- 疑わしい
- 取り
- テクノロジー
- テクノロジー
- 傾向があります
- より
- 感謝
- それ
- それら
- その後
- 理論
- そこ。
- ボーマン
- もの
- 物事
- この
- それらの
- 脅威
- 介して
- 〜へ
- 豊富なツール群
- トレンド
- 信頼
- アンコモン
- アップロード
- つかいます
- ユーザー
- さまざまな
- バージョン
- ビジョン
- ました
- この試験は
- その
- なぜ
- 以内
- でしょう
- とんでもない
- 書き込み
- You
- あなた自身
- ゼファーネット