Forskere har identifisert en populær åpen kildekode-pakke som kan skjule skadelig programvare for industrispionasje.
"SqzrFramework480" er et .NET dynamic link library (DLL) som ser ut til å tilhøre Bozhon Precision Industry Technology Co., en kinesisk produsent av forbrukerelektronikk og ulike industrielle teknologier. Filens oppgitte funksjoner inkluderer administrasjon og opprettelse av grafiske brukergrensesnitt (GUI), initialisering og konfigurering av maskinsynsbiblioteker, justering av robotbevegelsesinnstillinger og mer. Den ble lastet opp til NuGet åpen kildekode-depot 24. januar og har allerede 3,000 nedlastinger når dette skrives.
Det kan til slutt ikke være mer enn det det står at det er. Men forskere fra ReversingLabs flagget SqzrFramework480 som mistenkelig i en ny rapport, takket være en metode begravd inni som ser ut til å gjøre ganske ondsinnede ting: ta skjermbilder, åpne en stikkontakt og eksfiltrere data til en skjult IP-adresse.
Er SqzrFramework480 en OT-bakdør?
Programvare utviklet av kinesiske selskaper har vært brukes i ondsinnede forsyningskjedeangrep før, og cybertrusler mot industrielle systemer er ikke nye der.
Er SqzrFramework480 en fortsettelse av disse trendene? Svaret ligger i metoden, "Init."
Inits jobb begynner med å pinge en ekstern IP-adresse. Denne IP-adressen er lagret som en byte-array, der hver byte er et ASCII-kodet tegn.
Hvis pinget ikke lykkes, går programmet i dvale og prøver igjen 30 sekunder senere. Hvis det lykkes, åpner den en stikkontakt og kobler til den IP-adressen. Deretter tar den et skjermbilde av skjermen den er installert på, pakker den inn i en byte-array og sender den gjennom kontakten.
På den ene siden, sa forskerne, kan dette ganske enkelt være en mekanisme for å streame bilder fra et Bozhon-kamera til en arbeidsstasjon. Men visse kontekstuelle bevis gjør den teorien tilgriset.
For det første har navnene og klassene i SqzrFramework480 en tendens til å ha ganske ubeskrivelige etiketter; ingen steder kunne man for eksempel slutte seg til at den fanger skjermbilder. Og hvorfor er IP-adressen den pinger skjult som en byte? "Det er en slags mistenkelig, eller uvanlig, praksis," bemerker Petar Kirhmajer, rapportens forfatter. "Hvorfor ville du ikke bare inkludere IP-en [i klartekst]?"
Foruten lengden som er gått for å skjule Init, er det også det faktum at pakken ble oppført av en ubestemmelig NuGet-konto hvis eneste tidligere oppføring var "SqzrFramework480.Faker," en skjult versjon av SqzrFramework480.
I stedet for enhver rykende pistol forblir SqzrFramework480 live og tilgjengelig for nedlasting.
"Mitt forslag vil være å ikke stole blindt på hver pakke," sier Kirhmajer. "Hvis du kan, bør du revidere dem selv [manuelt]. Og hvis du ikke har ressursene til å gjøre det selv, bør du bruke verktøy for å skanne disse pakkene automatisk.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- : har
- :er
- :ikke
- :hvor
- $OPP
- 000
- 24
- 30
- 7
- a
- Logg inn
- adresse
- justering
- en gang til
- allerede
- også
- an
- og
- besvare
- noen
- vises
- ER
- Array
- AS
- revisjon
- forfatter
- automatisk
- tilgjengelig
- backdoor
- BE
- vært
- før du
- begynner
- blindt
- men
- by
- rom
- CAN
- fanger
- fange
- viss
- kjede
- karakter
- Kinesisk
- klasser
- CO
- Selskaper
- konfigurering
- forbinder
- forbruker
- kontekstuelle
- videreføring
- kunne
- Opprette
- dato
- utviklet
- do
- gjør
- Don
- nedlasting
- nedlastinger
- dynamisk
- hver enkelt
- Elektronikk
- slutt
- spionasje
- Hver
- bevis
- eksempel
- Faktisk
- filet
- flaggede
- Til
- fra
- funksjoner
- Går
- borte
- hånd
- Ha
- skjule
- HTTPS
- identifisert
- if
- bilder
- in
- inkludere
- industriell
- industri
- innsiden
- installerte
- grensesnitt
- inn
- IP
- IP-adresse
- er n
- IT
- DET ER
- jan
- Jobb
- jpeg
- bare
- Type
- etiketter
- seinere
- bibliotekene
- Bibliotek
- ligger
- sted
- LINK
- oppført
- oppføring
- leve
- maskin
- skadelig
- malware
- administrerende
- manuelt
- Produsent
- Kan..
- mekanisme
- metode
- Overvåke
- mer
- bevegelse
- my
- navn
- nett
- Ny
- Nei.
- Merknader
- ingen steder
- skjult
- of
- on
- ONE
- bare
- åpen
- åpen kildekode
- åpning
- åpner
- or
- ot
- pakke
- pakker
- ping
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- praksis
- Precision
- Før
- program
- heller
- forblir
- fjernkontroll
- rapporterer
- Repository
- forskere
- Ressurser
- s
- sier
- skanne
- skjermbilder
- sekunder
- synes
- sender
- innstillinger
- bør
- ganske enkelt
- sove
- kilde
- uttalte
- lagret
- streaming
- lykkes
- vellykket
- levere
- forsyningskjeden
- mistenkelig
- tar
- Technologies
- Teknologi
- tendens
- enn
- Takk
- Det
- De
- Dem
- deretter
- teori
- Der.
- Disse
- ting
- ting
- denne
- De
- trusler
- Gjennom
- til
- verktøy
- Trender
- Stol
- Uvanlig
- lastet opp
- bruke
- Bruker
- ulike
- versjon
- syn
- var
- Hva
- hvem sin
- hvorfor
- innenfor
- arbeidsstasjon
- ville
- ville ikke
- skriving
- Du
- deg selv
- zephyrnet