นักวิจัยได้ระบุแพ็คเกจโอเพ่นซอร์สยอดนิยมที่อาจซ่อนมัลแวร์จารกรรมทางอุตสาหกรรม
“SqzrFramework480” คือ .NET Dynamic Link Library (DLL) ที่ดูเหมือนว่าจะเกี่ยวข้องกับ Bozhon Precision Industry Technology Co. ซึ่งเป็นผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์สำหรับผู้บริโภคและเทคโนโลยีอุตสาหกรรมต่างๆ ของจีน ฟังก์ชันที่ระบุไว้ของไฟล์ประกอบด้วยการจัดการและการสร้างส่วนต่อประสานผู้ใช้แบบกราฟิก (GUI) การเริ่มต้นและการกำหนดค่าไลบรารีวิชันซิสเต็ม การปรับการตั้งค่าการเคลื่อนไหวของหุ่นยนต์ และอื่นๆ มันถูกอัปโหลดไปยังพื้นที่เก็บข้อมูลโอเพ่นซอร์สของ NuGet เมื่อวันที่ 24 มกราคม และมีการดาวน์โหลดแล้ว 3,000 ครั้ง ณ วันที่เขียนนี้
สุดท้ายแล้ว มันอาจจะไม่มีอะไรมากไปกว่าที่พูดไว้ก็ได้ แต่นักวิจัยจาก ReversingLabs ตั้งค่าสถานะ SqzrFramework480 ว่าน่าสงสัยในรายงานใหม่ ด้วยวิธีฝังอยู่ภายในซึ่งดูเหมือนจะทำสิ่งที่ค่อนข้างอันตราย เช่น การจับภาพหน้าจอ การเปิดซ็อกเก็ต และกรองข้อมูลไปยังที่อยู่ IP ที่ซ่อนอยู่
SqzrFramework480 เป็น OT Backdoor หรือไม่
ซอฟต์แวร์ที่พัฒนาโดยบริษัทจีนได้รับ ใช้ในการโจมตีห่วงโซ่อุปทานที่เป็นอันตราย มาก่อนและ ภัยคุกคามทางไซเบอร์ต่อระบบอุตสาหกรรม ไม่ใช่เรื่องใหม่ที่นั่น
SqzrFramework480 เป็นการสานต่อแนวโน้มเหล่านี้หรือไม่? คำตอบอยู่ที่วิธีการ “เริ่มต้น”
งานของ Init เริ่มต้นด้วยการส่ง Ping ไปยังที่อยู่ IP ระยะไกล ที่อยู่ IP นี้จะถูกจัดเก็บเป็นอาร์เรย์ไบต์ โดยแต่ละไบต์เป็นอักขระที่เข้ารหัส ASCII
หาก Ping ไม่สำเร็จ โปรแกรมจะเข้าสู่โหมดสลีปและลองอีกครั้งใน 30 วินาทีต่อมา หากทำสำเร็จ ระบบจะเปิดซ็อกเก็ตและเชื่อมต่อกับที่อยู่ IP นั้น จากนั้นจะจับภาพหน้าจอของจอภาพที่ติดตั้งไว้ บรรจุลงในอาร์เรย์ไบต์ และส่งผ่านซ็อกเก็ต
ในด้านหนึ่ง นักวิจัยตั้งข้อสังเกตว่า นี่อาจเป็นกลไกในการสตรีมภาพจากกล้อง Bozhon ไปยังเวิร์กสเตชัน แต่หลักฐานเชิงบริบทบางอย่างทำให้ทฤษฎีนั้นสับสน
ประการหนึ่ง ชื่อและคลาสภายใน SqzrFramework480 มักจะมีป้ายกำกับที่ค่อนข้างไม่ชัดเจน ไม่มีที่ไหนเลยที่จะสรุปได้ว่าจับภาพหน้าจอได้ และเหตุใดที่อยู่ IP จึงส่ง Ping ปกปิดเป็นไบต์ “นั่นเป็นการปฏิบัติที่น่าสงสัยหรือผิดปกติ” Petar Kirhmajer ผู้เขียนรายงานกล่าว “ทำไมคุณไม่ใส่ IP [เป็นข้อความธรรมดา] ล่ะ?”
นอกจากความยาวที่ทำให้ Init คลุมเครือแล้ว ยังมีข้อเท็จจริงที่ว่าแพ็คเกจดังกล่าวถูกแสดงรายการโดยบัญชี NuGet ที่ไม่มีคำอธิบายซึ่งรายการก่อนหน้านี้มีเพียง “SqzrFramework480.Faker” ซึ่งเป็นเวอร์ชันที่คลุมเครือของ SqzrFramework480
แทนที่จะใช้ปืนสูบบุหรี่ SqzrFramework480 ยังคงใช้งานได้และพร้อมให้ดาวน์โหลด
“ข้อเสนอแนะของฉันคืออย่าเชื่อถือพัสดุทุกชิ้นโดยสุ่มสี่สุ่มห้า” Kirhmajer กล่าว “หากทำได้ คุณควรตรวจสอบพวกเขาด้วยตัวเอง [ด้วยตนเอง] และหากคุณไม่มีทรัพยากรที่จะทำด้วยตัวเอง คุณควรใช้เครื่องมือเพื่อสแกนแพ็คเกจเหล่านั้นโดยอัตโนมัติ”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 24
- 30
- 7
- a
- ลงชื่อเข้าใช้
- ที่อยู่
- ปรับ
- อีกครั้ง
- แล้ว
- ด้วย
- an
- และ
- คำตอบ
- ใด
- ปรากฏ
- เป็น
- แถว
- AS
- การตรวจสอบบัญชี
- ผู้เขียน
- อัตโนมัติ
- ใช้ได้
- ประตูหลัง
- BE
- รับ
- ก่อน
- เริ่มต้น
- สุ่มสี่สุ่มห้า
- แต่
- by
- ห้อง
- CAN
- จับ
- จับ
- บาง
- โซ่
- ตัวอักษร
- ชาวจีน
- ชั้นเรียน
- CO
- บริษัท
- การกำหนดค่า
- เชื่อมต่อ
- ผู้บริโภค
- ตามบริบท
- ความต่อเนื่อง
- ได้
- การสร้าง
- ข้อมูล
- พัฒนา
- do
- ทำ
- สวม
- ดาวน์โหลด
- ดาวน์โหลด
- พลวัต
- แต่ละ
- อิเล็กทรอนิกส์
- ปลาย
- การจารกรรม
- ทุกๆ
- หลักฐาน
- ตัวอย่าง
- ความจริง
- เนื้อไม่มีมัน
- ถูกตั้งค่าสถานะ
- สำหรับ
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- ไป
- ไป
- มือ
- มี
- การซ่อน
- HTTPS
- ระบุ
- if
- ภาพ
- in
- ประกอบด้วย
- อุตสาหกรรม
- อุตสาหกรรม
- ภายใน
- การติดตั้ง
- อินเตอร์เฟซ
- เข้าไป
- IP
- ที่อยู่ IP
- ISN
- IT
- ITS
- แจน
- การสัมภาษณ์
- jpeg
- เพียงแค่
- ชนิด
- ป้ายกำกับ
- ต่อมา
- ห้องสมุด
- ห้องสมุด
- ตั้งอยู่
- สถานที่
- LINK
- จดทะเบียน
- รายการ
- สด
- เครื่อง
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- ด้วยมือ
- ผู้ผลิต
- อาจ..
- กลไก
- วิธี
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- การเคลื่อนไหว
- my
- ชื่อ
- สุทธิ
- ใหม่
- ไม่
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ไม่มีที่ไหนเลย
- กร่ำกรุ่น
- of
- on
- ONE
- เพียง
- เปิด
- โอเพนซอร์ส
- การเปิด
- เปิด
- or
- ot
- แพ็คเกจ
- แพคเกจ
- ปิง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- การปฏิบัติ
- ความแม่นยำ
- ก่อน
- โครงการ
- ค่อนข้าง
- ซากศพ
- รีโมท
- รายงาน
- กรุ
- นักวิจัย
- แหล่งข้อมูล
- s
- พูดว่า
- การสแกน
- ภาพหน้าจอ
- วินาที
- ดูเหมือนว่า
- ส่ง
- การตั้งค่า
- น่า
- ง่ายดาย
- นอนหลับ
- แหล่ง
- ระบุ
- เก็บไว้
- ที่พริ้ว
- ประสบความสำเร็จ
- ที่ประสบความสำเร็จ
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- พิรุธ
- ใช้เวลา
- เทคโนโลยี
- เทคโนโลยี
- มีแนวโน้ม
- กว่า
- ขอบคุณ
- ที่
- พื้นที่
- พวกเขา
- แล้วก็
- ทฤษฎี
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สิ่ง
- สิ่ง
- นี้
- เหล่านั้น
- ภัยคุกคาม
- ตลอด
- ไปยัง
- เครื่องมือ
- แนวโน้ม
- วางใจ
- ผิดปกติ
- อัปโหลด
- ใช้
- ผู้ใช้งาน
- ต่างๆ
- รุ่น
- วิสัยทัศน์
- คือ
- อะไร
- ใคร
- ทำไม
- ภายใน
- เวิร์กสเตชัน
- จะ
- จะ
- การเขียน
- คุณ
- ด้วยตัวคุณเอง
- ลมทะเล