Forskare har identifierat ett populärt paket med öppen källkod som kan dölja skadlig programvara för industrispionage.
"SqzrFramework480" är ett .NET dynamiskt länkbibliotek (DLL) som verkar tillhöra Bozhon Precision Industry Technology Co., en kinesisk tillverkare av hemelektronik och olika industriella teknologier. Filens angivna funktioner inkluderar hantering och skapande av grafiska användargränssnitt (GUI), initiering och konfigurering av maskinseendebibliotek, justering av robotrörelseinställningar och mer. Den laddades upp till NuGet open source-förvaret den 24 januari och har redan 3,000 XNUMX nedladdningar när detta skrivs.
Det kanske i slutändan inte blir mer än vad det står att det är. Men forskare från ReversingLabs flaggade SqzrFramework480 som misstänkt i en ny rapport, tack vare en metod begravd inuti som verkar göra ganska skadliga saker: fånga skärmdumpar, öppna en socket och exfiltrera data till en dold IP-adress.
Är SqzrFramework480 en OT-bakdörr?
Mjukvara utvecklad av kinesiska företag har varit används i skadliga attacker i leveranskedjan före, och cyberhot mot industriella system är inte nya där.
Är SqzrFramework480 en fortsättning på dessa trender? Svaret ligger i dess metod, "Init."
Inits jobb börjar med att pinga en fjärransluten IP-adress. Denna IP-adress lagras som en byte-array, där varje byte är ett ASCII-kodat tecken.
Om pingningen inte lyckas går programmet i viloläge och försöker igen 30 sekunder senare. Om det lyckas, öppnar det en socket och ansluter till den IP-adressen. Sedan tar den en skärmdump av monitorn den är installerad på, paketerar den i en byte-array och skickar den genom sockeln.
Å ena sidan, menade forskarna, kan detta helt enkelt vara en mekanism för att strömma bilder från en Bozhon-kamera till en arbetsstation. Men vissa kontextuella bevis stör den teorin.
För det första tenderar namnen och klasserna inom SqzrFramework480 att ha ganska obeskrivliga etiketter; ingenstans kunde man till exempel dra slutsatsen att den tar skärmdumpar. Och varför är IP-adressen som den pingar dold som en byte? "Det är en sorts misstänkt, eller ovanlig, praxis", konstaterar Petar Kirhmajer, rapportens författare. "Varför skulle du inte bara inkludera IP:n [i klartext]?"
Förutom längden som gått åt för att fördunkla Init, finns det också det faktum att paketet listades av ett obeskrivligt NuGet-konto vars enda tidigare notering var "SqzrFramework480.Faker", en mörk version av SqzrFramework480.
I stället för alla rykande vapen förblir SqzrFramework480 live och tillgänglig för nedladdning.
"Mitt förslag skulle vara att inte lita blint på varje paket", säger Kirhmajer. "Om du kan, bör du granska dem själv [manuellt]. Och om du inte har resurserna att göra det själv, bör du använda verktyg för att automatiskt skanna dessa paket.”
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- : har
- :är
- :inte
- :var
- $UPP
- 000
- 24
- 30
- 7
- a
- Konto
- adress
- justering
- igen
- redan
- också
- an
- och
- svara
- vilken som helst
- visas
- ÄR
- array
- AS
- revision
- Författaren
- automatiskt
- tillgänglig
- bakdörr
- BE
- varit
- innan
- börjar
- blint
- men
- by
- rum
- KAN
- fångar
- Fångande
- vissa
- kedja
- karaktär
- kinesisk
- klasser
- CO
- Företag
- konfigurering
- ansluter
- Konsumenten
- kontextuella
- fortsättning
- kunde
- Skapa
- datum
- utvecklade
- do
- gör
- donation
- ladda ner
- Nedladdningar
- dynamisk
- varje
- Elektronik
- änden
- spionage
- Varje
- bevis
- exempel
- Faktum
- Fil
- flaggad
- För
- från
- funktioner
- Går
- borta
- sidan
- Har
- dölja
- HTTPS
- identifierade
- if
- bilder
- in
- innefattar
- industriell
- industrin
- inuti
- installerad
- gränssnitt
- in
- IP
- IP-adress
- isn
- IT
- DESS
- jan
- Jobb
- jpeg
- bara
- Snäll
- Etiketter
- senare
- bibliotek
- Bibliotek
- ligger
- plats
- LINK
- Noterade
- lista
- lever
- Maskinen
- skadlig
- malware
- hantera
- manuellt
- Tillverkare
- Maj..
- mekanism
- metod
- Övervaka
- mer
- rörelse
- my
- namn
- netto
- Nya
- Nej
- Anmärkningar
- ingenstans
- skyms
- of
- on
- ONE
- endast
- öppet
- öppen källkod
- öppning
- öppnas
- or
- ot
- paket
- paket
- ping
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- praktiken
- Precision
- Innan
- Program
- snarare
- resterna
- avlägsen
- rapport
- Repository
- forskare
- Resurser
- s
- säger
- scanna
- skärmdumpar
- sekunder
- verkar
- sänder
- inställningar
- skall
- helt enkelt
- sova
- Källa
- anges
- lagras
- streaming
- lyckas
- framgångsrik
- leverera
- leveranskedjan
- misstänksam
- tar
- Tekniken
- Teknologi
- Tend
- än
- Tack
- den där
- Smakämnen
- Dem
- sedan
- Teorin
- Där.
- Dessa
- sak
- saker
- detta
- de
- hot
- Genom
- till
- verktyg
- Trender
- Litar
- Ovanlig
- uppladdad
- användning
- Användare
- olika
- version
- syn
- var
- Vad
- vars
- varför
- inom
- arbetsstation
- skulle
- skulle inte
- skrivning
- Om er
- själv
- zephyrnet