Os pesquisadores identificaram um pacote popular de código aberto que pode estar escondendo malware de espionagem industrial.
“SqzrFramework480” é uma biblioteca de link dinâmico (DLL) .NET que parece pertencer à Bozhon Precision Industry Technology Co., um fabricante chinês de eletrônicos de consumo e várias tecnologias industriais. As funções declaradas do arquivo incluem gerenciamento e criação de interfaces gráficas de usuário (GUIs), inicialização e configuração de bibliotecas de visão de máquina, ajuste de configurações de movimento robótico e muito mais. Ele foi carregado no repositório de código aberto NuGet em 24 de janeiro e já possui 3,000 downloads até o momento desta redação.
Pode, no final, não ser mais do que aquilo que diz ser. Mas pesquisadores do ReversingLabs sinalizaram o SqzrFramework480 como suspeito em um novo relatório, graças a um método oculto que parece fazer coisas bastante maliciosas: capturar capturas de tela, abrir um soquete e exfiltrar dados para um endereço IP oculto.
O SqzrFramework480 é um backdoor OT?
Software desenvolvido por empresas chinesas tem sido usado em ataques maliciosos à cadeia de suprimentos antes, e ameaças cibernéticas a sistemas industriais não são novos lá.
O SqzrFramework480 é uma continuação dessas tendências? A resposta está em seu método, “Init”.
O trabalho do Init começa executando ping em um endereço IP remoto. Este endereço IP é armazenado como uma matriz de bytes, onde cada byte é um caractere codificado em ASCII.
Se o ping não for bem-sucedido, o programa entra em suspensão e tenta novamente 30 segundos depois. Se tiver sucesso, ele abre um soquete e se conecta a esse endereço IP. Em seguida, ele tira uma captura de tela do monitor em que está instalado, empacota-o em uma matriz de bytes e envia-o pelo soquete.
Por um lado, postularam os pesquisadores, este poderia ser simplesmente um mecanismo para transmitir imagens de uma câmera Bozhon para uma estação de trabalho. Mas certas evidências contextuais confundem essa teoria.
Por um lado, os nomes e classes dentro do SqzrFramework480 tendem a ter rótulos bastante indefinidos; em nenhum lugar, por exemplo, alguém poderia inferir que ele captura capturas de tela. E por que o endereço IP que ele faz ping está oculto como um byte? “Esse é um tipo de prática suspeita ou incomum”, observa Petar Kirhmajer, autor do relatório. “Por que você simplesmente não incluiria o IP [em texto simples]?”
Além dos esforços para obscurecer o Init, há também o fato de que o pacote foi listado por uma conta indefinida do NuGet, cuja única listagem anterior era “SqzrFramework480.Faker”, uma versão obscurecida do SqzrFramework480.
Em vez de qualquer arma fumegante, o SqzrFramework480 permanece ativo e disponível para download.
“Minha sugestão seria não confiar cegamente em todos os pacotes”, diz Kirhmajer. “Se puder, você mesmo deve auditá-los [manualmente]. E se você não tiver recursos para fazer isso sozinho, você deve usar ferramentas para verificar automaticamente esses pacotes.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :tem
- :é
- :não
- :onde
- $UP
- 000
- 24
- 30
- 7
- a
- Conta
- endereço
- ajustando
- novamente
- já
- tb
- an
- e
- responder
- qualquer
- aparece
- SOMOS
- Ordem
- AS
- auditor
- autor
- automaticamente
- disponível
- Porta dos fundos
- BE
- sido
- antes
- começa
- cegamente
- mas a
- by
- Câmera
- CAN
- capturas
- Capturar
- certo
- cadeia
- personagem
- chinês
- aulas
- CO
- Empresas
- configurando
- conecta
- consumidor
- contextual
- continuação
- poderia
- Criar
- dados,
- desenvolvido
- do
- parece
- don
- download
- de downloads
- dinâmico
- cada
- Eletrônicos
- final
- espionagem
- Cada
- evidência
- exemplo
- fato
- Envie o
- marcado
- Escolha
- da
- funções
- vai
- ido
- mão
- Ter
- se escondendo
- HTTPS
- identificado
- if
- imagens
- in
- incluir
- industrial
- indústria
- dentro
- instalado
- interfaces de
- para dentro
- IP
- Endereço IP
- isn
- IT
- ESTÁ
- Jan
- Trabalho
- jpeg
- apenas por
- Tipo
- Rótulos
- mais tarde
- bibliotecas
- Biblioteca
- encontra-se
- lugar
- LINK
- Listado
- listagem
- viver
- máquina
- malicioso
- malwares
- gestão
- manualmente
- Fabricante
- Posso..
- mecanismo
- método
- Monitore
- mais
- movimento
- my
- nomes
- líquido
- Novo
- não
- Notas
- lugar algum
- obscurecido
- of
- on
- ONE
- só
- aberto
- open source
- abertura
- abre
- or
- ot
- pacote
- pacotes
- sibilo
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- prática
- Precisão
- Prévio
- Agenda
- em vez
- permanece
- remoto
- Denunciar
- repositório
- pesquisadores
- Recursos
- s
- diz
- digitalização
- screenshots
- segundo
- parece
- envia
- Configurações
- rede de apoio social
- simplesmente
- dormir
- fonte
- estabelecido
- armazenadas
- de streaming
- suceder
- bem sucedido
- supply
- cadeia de suprimentos
- suspeito
- toma
- Tecnologias
- Tecnologia
- Tender
- do que
- obrigado
- que
- A
- Eles
- então
- teoria
- Lá.
- Este
- coisa
- coisas
- isto
- aqueles
- ameaças
- Através da
- para
- ferramentas
- Tendências
- Confiança
- Incomum
- carregado
- usar
- Utilizador
- vário
- versão
- visão
- foi
- O Quê
- de quem
- porque
- dentro
- estação de trabalho
- seria
- não
- escrita
- Vocês
- você mesmo
- zefirnet