- 13,854
- 20
- 8 Ноя 2022
Что это – дополнительные функции или полноценный шпионский инструмент?
Специалисты ReversingLabs Для просмотра ссылки Войдиили Зарегистрируйся подозрительный пакет в менеджере пакетов NuGet , предположительно нацеленный на разработчиков, использующих инструменты китайской компании Bozhon Precision Industry Technology, специализирующейся на производстве промышленного и цифрового оборудования.
Пакет под названием Для просмотра ссылки Войдиили Зарегистрируйся был впервые опубликован 24 января 2024 года и на данный момент загружен 2999 раз. В пакете обнаружена DLL-библиотека «SqzrFramework480.dll», содержащая функции для создания скриншотов, отправки их на удаленный IP-адрес и постоянной проверки связи с IP-адресом каждые 30 секунд.
По словам ReversingLabs, такие действия в отдельности не считаются злонамеренными, но в совокупности вызывают подозрения и могут свидетельствовать о попытке промышленного шпионажа, особенно в системах, оснащенных камерами, машинным зрением и роботизированными руками.
Подключение к IP-адресу и отправка скриншотов на адрес
Объединение данных функций в одном пакете нарушает правила безопасности и может указывать на намеренное внедрение вредоносного кода под видом безобидного программного обеспечения. Несмотря на потенциальную опасность, существует альтернативное объяснение: пакет мог быть утечкой от разработчика или третьей стороны, работающей с компанией, и использоваться для передачи изображений с камеры на рабочую станцию.
На то, что SqzrFramework480 связан с китайской фирмой Bozhon Precision Industry Technology, указывает использование логотипа компании в качестве значка пакета. Пакет был загружен учетной записью пользователя Nuget под названием Для просмотра ссылки Войдиили Зарегистрируйся
На данный момент пакет SqzrFramework480 Для просмотра ссылки Войдиили Зарегистрируйся с сообщением о нарушении Условий использования.
В ReversingLabs подчеркнули, что такие инциденты подчеркивают сложность угроз цепочек поставок и необходимость тщательного анализа библиотек перед их загрузкой. Открытые репозитории, такие как NuGet, все чаще содержат подозрительные и вредоносные пакеты, целью которых является привлечение разработчиков и внедрение злонамеренных модулей в их рабочие процессы.
Специалисты ReversingLabs Для просмотра ссылки Войди
Пакет под названием Для просмотра ссылки Войди
По словам ReversingLabs, такие действия в отдельности не считаются злонамеренными, но в совокупности вызывают подозрения и могут свидетельствовать о попытке промышленного шпионажа, особенно в системах, оснащенных камерами, машинным зрением и роботизированными руками.
Подключение к IP-адресу и отправка скриншотов на адрес
Объединение данных функций в одном пакете нарушает правила безопасности и может указывать на намеренное внедрение вредоносного кода под видом безобидного программного обеспечения. Несмотря на потенциальную опасность, существует альтернативное объяснение: пакет мог быть утечкой от разработчика или третьей стороны, работающей с компанией, и использоваться для передачи изображений с камеры на рабочую станцию.
На то, что SqzrFramework480 связан с китайской фирмой Bozhon Precision Industry Technology, указывает использование логотипа компании в качестве значка пакета. Пакет был загружен учетной записью пользователя Nuget под названием Для просмотра ссылки Войди
На данный момент пакет SqzrFramework480 Для просмотра ссылки Войди
В ReversingLabs подчеркнули, что такие инциденты подчеркивают сложность угроз цепочек поставок и необходимость тщательного анализа библиотек перед их загрузкой. Открытые репозитории, такие как NuGet, все чаще содержат подозрительные и вредоносные пакеты, целью которых является привлечение разработчиков и внедрение злонамеренных модулей в их рабочие процессы.
- Источник новости
- www.securitylab.ru
