В NuGet обнаружен пакет, возможно, предназначенный для промышленного шпионажа.
Citizen
Citizen Sec , 22-04-2024
Пакет под названием SqzrFramework480 был опубликован 24 января 2024 года пользователем под ником zhaoyushun1999, и за прошедшие месяцы его успели загрузить почти 3000 раз.
Исследователи пишут, что не обнаружили других пакетов с подобным поведением, однако они полагают, что эта кампания могла использоваться для промышленного шпионажа в системах, оснащенных камерами, системами машинного зрения и роботизированными руками.
Судя по всему, SqzrFramework480 связан с китайской компанией Bozhon Precision Industry Technology Co., Ltd., о чем свидетельствует использование ее логотипа в качестве иконки пакета.
Библиотека содержит DLL-файл SqzrFramework480.dll, который обладает функцией создания скриншотов, пингует удаленный IP-адрес каждые 30 секунд (до успешного завершения операции), а также может передавать скриншоты через сокет, созданный и подключенный к указанному IP-адресу.
«Ни одно из этих действий не является однозначно вредоносным. Однако в совокупности они настораживают. Пинг служит для проверки того, активен ли сервер для эксфильтрации данных», — объясняют специалисты.
Также отмечается, что использование сокетов для кражи данных уже наблюдалось в других вредоносных кампаниях. Например, ранее эксперты находили вредоносный пакет nodejs_net_server в репозитории npm, который действовал также.
Точные мотивы авторов SqzrFramework480 неизвестны, но злоумышленники часто прибегают к сокрытию вредоносного кода безвредных на первый взгляд программах. Впрочем, исследователи допускают, что здесь возможно и более безобидное объяснение. Например, утечка пакета произошла по вине разработчика или третьей стороны, сотрудничающей с Bozhon.
«Они могут даже объяснить кажущееся вредоносным поведение непрерывного захвата экрана: вероятно, это способ, который разработчик использовал для передачи изображения с камеры на основную рабочую станцию», — пишут в ReversingLabs, но отмечают, что это довольно необычный и неэффективный способ переноса данных с камеры в другую систему.
Как бы то ни было, в настоящее время пакет уже недоступен в NuGet, и сообщается, что его содержимое нарушало Terms of Use.
Вам также будет интересно
Cookies, Super Cookies, Fingerprint и Таргетированная реклама: как всё связано?
Cookies, super cookies, fingerprint и таргетированная реклама: как отслеживается поведение пользователей, какие технологии используются и как частично защитить свою приватность.
Citizen Sec
19-05-2025Полное руководство по шифрованию диска: что это, зачем нужно и как сделать
Шифрование диска — это важный инструмент для защиты данных на вашем устройстве.
Citizen Sec
15-05-2025Журнал о кибербезопасности
Сегодня мы рады представить вам нашу подборку рекомендаций по кибергигиене в текстовом формате, оформленную в виде журнала.
CitizenSec Author
28-01-2025Завершите регистрацию и обновите данные сертификата на портале CitizenSec
Просим завершить регистрацию и обновить данные сертификата о прохождении курса по кибергигиене на портале CitizenSec.
Citizen Sec
02-08-202459% паролей взламываются за час - узнайте, как защитить свои данные и обеспечить безопасность в сети
Современные компьютеры в 2024 году могут взломать пароли, которые раньше считались надежными, за несколько секунд.
Citizen Sec
27-06-2024Как вредоносные документы Word и QR-коды превращают обычные фишинговые атаки в опасное оружие
Хакеры часто используют вредоносные документы Word, которые могут содержать макросы с вредоносным кодом. Такие файлы при открытии могут нанести вред компьютеру жертвы.
Citizen Sec
26-06-2024Как не попасться на фишинг
В данной статье мы поговорим о том, что такое фишинг, покажем примеры такого вида мошенничества и расскажем о методах противодействия.
Citizen Sec
15-06-2024Баг в Microsoft Edge позволял незаметно устанавливать вредоносные расширения
Citizen Sec
22-04-2024