Các nhà nghiên cứu đã xác định được một gói nguồn mở phổ biến có thể ẩn chứa phần mềm độc hại gián điệp công nghiệp.
“SqzrFramework480” là một thư viện liên kết động .NET (DLL) dường như liên quan đến Bozhon Precision Industry Technology Co., một nhà sản xuất điện tử tiêu dùng và các công nghệ công nghiệp khác nhau của Trung Quốc. Các chức năng đã nêu của tệp bao gồm quản lý và tạo giao diện người dùng đồ họa (GUI), khởi tạo và định cấu hình thư viện thị giác máy, điều chỉnh cài đặt chuyển động của robot, v.v. Nó đã được tải lên kho lưu trữ nguồn mở NuGet vào ngày 24 tháng 3,000 và đã có XNUMX lượt tải xuống tính đến thời điểm viết bài này.
Cuối cùng, nó có thể không hơn những gì nó nói. Nhưng các nhà nghiên cứu từ ReversingLabs đã đánh dấu SqzrFramework480 là đáng ngờ trong một báo cáo mới, nhờ một phương pháp ẩn bên trong dường như thực hiện những điều khá độc hại: chụp ảnh màn hình, mở ổ cắm và trích xuất dữ liệu đến một địa chỉ IP bị ẩn.
SqzrFramework480 có phải là Backdoor OT không?
Phần mềm do các công ty Trung Quốc phát triển đã bị được sử dụng trong các cuộc tấn công chuỗi cung ứng độc hại trước và các mối đe dọa mạng đối với các hệ thống công nghiệp không có gì mới ở đó.
SqzrFramework480 có phải là sự tiếp nối của những xu hướng này không? Câu trả lời nằm ở phương thức của nó, “Init”.
Công việc của init bắt đầu bằng cách ping một địa chỉ IP từ xa. Địa chỉ IP này được lưu trữ dưới dạng mảng byte, trong đó mỗi byte là một ký tự được mã hóa ASCII.
Nếu ping không thành công, chương trình sẽ chuyển sang chế độ ngủ và thử lại sau 30 giây. Nếu thành công, nó sẽ mở một ổ cắm và kết nối với địa chỉ IP đó. Sau đó, nó chụp ảnh màn hình của màn hình được cài đặt, đóng gói thành một mảng byte và gửi nó qua ổ cắm.
Một mặt, các nhà nghiên cứu thừa nhận, đây có thể đơn giản là một cơ chế truyền hình ảnh từ máy ảnh Bozhon đến máy trạm. Nhưng một số bằng chứng bối cảnh nhất định đã làm lu mờ lý thuyết đó.
Có một điều, các tên và lớp trong SqzrFramework480 có xu hướng có các nhãn khá khó mô tả; chẳng hạn, không nơi nào người ta có thể suy ra rằng nó chụp được ảnh chụp màn hình. Và tại sao địa chỉ IP mà nó ping lại bị ẩn dưới dạng byte? Petar Kirhmajer, tác giả của báo cáo, lưu ý: “Đó là một kiểu hành động đáng ngờ hoặc không phổ biến”. “Tại sao bạn không đưa IP [vào bản rõ]?”
Bên cạnh khoảng thời gian đã bị che khuất trong Init, còn có một thực tế là gói này được liệt kê bởi một tài khoản NuGet không có đặc điểm rõ ràng mà danh sách trước đó duy nhất là “SqzrFramework480.Faker”, một phiên bản bị che khuất của SqzrFramework480.
Thay vì bất kỳ khẩu súng hút thuốc nào, SqzrFramework480 vẫn tồn tại và có sẵn để tải xuống.
“Đề nghị của tôi là không nên tin tưởng một cách mù quáng vào mọi gói hàng,” Kirhmajer nói. “Nếu có thể, bạn nên tự mình kiểm tra chúng [thủ công]. Và nếu bạn không có đủ nguồn lực để tự mình thực hiện, bạn nên sử dụng các công cụ để tự động quét các gói đó.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot-security/dubious-nuget-package-chinese-industrial-espionage
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 000
- 24
- 30
- 7
- a
- Tài khoản
- địa chỉ
- điều chỉnh
- một lần nữa
- Đã
- Ngoài ra
- an
- và
- trả lời
- bất kì
- xuất hiện
- LÀ
- Mảng
- AS
- kiểm toán
- tác giả
- tự động
- có sẵn
- cửa sau
- BE
- được
- trước
- bắt đầu
- mù quáng
- nhưng
- by
- máy ảnh
- CAN
- chụp
- Chụp
- nhất định
- chuỗi
- tính cách
- Trung Quốc
- các lớp học
- CO
- Các công ty
- cấu hình
- connect
- người tiêu dùng
- theo ngữ cảnh
- tiếp tục
- có thể
- Tạo
- dữ liệu
- phát triển
- do
- làm
- don
- tải về
- Tải xuống
- năng động
- mỗi
- Thiết bị điện tử
- cuối
- gián điệp
- Mỗi
- bằng chứng
- ví dụ
- thực tế
- Tập tin
- được gắn cờ
- Trong
- từ
- chức năng
- Đi
- đi
- tay
- Có
- ẩn
- HTTPS
- xác định
- if
- hình ảnh
- in
- bao gồm
- công nghiệp
- ngành công nghiệp
- trong
- cài đặt
- giao diện
- trong
- IP
- Địa chỉ IP
- isn
- IT
- ITS
- Tháng
- Việc làm
- jpeg
- chỉ
- Loại
- Nhãn
- một lát sau
- thư viện
- Thư viện
- nằm
- Bạc Liêu
- LINK
- Liệt kê
- niêm yết
- sống
- máy
- độc hại
- phần mềm độc hại
- quản lý
- thủ công
- nhà chế tạo
- Có thể..
- cơ chế
- phương pháp
- Màn Hình
- chi tiết
- phong trào
- my
- tên
- net
- Mới
- Không
- Chú ý
- hư không
- bị che khuất
- of
- on
- ONE
- có thể
- mở
- mã nguồn mở
- mở
- mở ra
- or
- ot
- gói
- gói
- ping
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Phổ biến
- thực hành
- Độ chính xác
- Trước khi
- chương trình
- hơn
- vẫn còn
- xa
- báo cáo
- kho
- nhà nghiên cứu
- Thông tin
- s
- nói
- quét
- ảnh chụp màn hình
- giây
- dường như
- gửi
- thiết lập
- nên
- đơn giản
- ngủ
- nguồn
- quy định
- lưu trữ
- trực tuyến
- thành công
- thành công
- cung cấp
- chuỗi cung ứng
- đáng ngờ
- mất
- Công nghệ
- Công nghệ
- có xu hướng
- hơn
- Cảm ơn
- việc này
- Sản phẩm
- Them
- sau đó
- lý thuyết
- Đó
- Kia là
- điều
- điều
- điều này
- những
- các mối đe dọa
- Thông qua
- đến
- công cụ
- Xu hướng
- NIỀM TIN
- Không phổ biến
- tải lên
- sử dụng
- người sử dang
- khác nhau
- phiên bản
- tầm nhìn
- là
- Điều gì
- có
- tại sao
- ở trong
- máy trạm
- sẽ
- sẽ
- viết
- Bạn
- mình
- zephyrnet