威胁猎人在NuGet软件包管理器中发现了一个可疑的软件包,该软件包很可能是针对使用一家专门从事工业和数字设备制造的中国公司制造的工具的开发人员设计的。
有问题的包裹是
SqzrFramework480
,ReversingLabs称其于2024年1月24日首次发布。截至本文撰写之时,它已被下载2999次。
这家软件供应链安全公司表示,没有发现任何其他软件包表现出类似行为。
然而,它推测,这场运动可能被用于策划在配备摄像头、机器视觉和机械臂的系统上进行工业间谍活动。
有迹象表明,SqzrFramework480似乎与一家名为博众精密工业技术有限公司(Bozhon Precision Industry Technology Co.,有限公司)的中国公司有关联,这是因为该公司的图标使用了该公司的标志。它是由一个名为“赵玉顺1999”的Nuget用户帐号上传的
库中存在一个DLL文件“SqzrFramework480.DLL”,该文件具有截屏功能,每30秒ping一次远程IP地址,直到操作成功,并通过创建并连接到所述IP地址的套接字传输截屏。
安全研究员Petar Kirhmajer说:“这些行为都不是绝对恶意的。然而,当它们结合在一起时,会引起警报。”。“ping用作检测信号,以查看exfiltering服务器是否处于活动状态。”
之前已经在野外观察到恶意使用套接字进行数据通信和exfiltering,如npm包nodejs_net_server的情况。
该软件包背后的确切动机尚不清楚,尽管众所周知的事实是,对手正在稳步地将邪恶代码隐藏在看似良性的软件中,以损害受害者的利益。
另一种无害的解释可能是,该软件包是由开发商或与该公司合作的第三方泄露的。
Kirhmajer说:“他们还可以解释看似恶意的连续截屏行为:这可能只是开发人员将主监视器上的摄像头上的图像流式传输到工作站的一种方式。”。
撇开包的模糊性不谈,研究结果强调了供应链威胁的复杂性,这使得用户在下载图书馆之前必须仔细检查图书馆。
Kirhmajer说:“像NuGet这样的开源存储库越来越多地托管可疑和恶意软件包,这些软件包旨在吸引开发者,诱骗他们下载恶意库和其他模块,并将其纳入开发管道。”。
📮评论