NuGet: поле битвы за секреты разработчиков
Что это – дополнительные функции или полноценный шпионский инструмент?
Специалисты ReversingLabs обнаружили подозрительный пакет в менеджере пакетов NuGet, предположительно нацеленный на разработчиков, использующих инструменты китайской компании Bozhon Precision Industry Technology, специализирующейся на производстве промышленного и цифрового оборудования.
Пакет под названием SqzrFramework480 был впервые опубликован 24 января 2024 года и на данный момент загружен 2999 раз. В пакете обнаружена DLL-библиотека «SqzrFramework480.dll», содержащая функции для создания скриншотов, отправки их на удаленный IP-адрес и постоянной проверки связи с IP-адресом каждые 30 секунд.
По словам ReversingLabs, такие действия в отдельности не считаются злонамеренными, но в совокупности вызывают подозрения и могут свидетельствовать о попытке промышленного шпионажа, особенно в системах, оснащенных камерами, машинным зрением и роботизированными руками.
Подключение к IP-адресу и отправка скриншотов на адрес
Объединение данных функций в одном пакете нарушает правила безопасности и может указывать на намеренное внедрение вредоносного кода под видом безобидного программного обеспечения. Несмотря на потенциальную опасность, существует альтернативное объяснение: пакет мог быть утечкой от разработчика или третьей стороны, работающей с компанией, и использоваться для передачи изображений с камеры на рабочую станцию.
На то, что SqzrFramework480 связан с китайской фирмой Bozhon Precision Industry Technology, указывает использование логотипа компании в качестве значка пакета. Пакет был загружен учетной записью пользователя Nuget под названием «zhaoyushun1999».
На данный момент пакет SqzrFramework480 удален из репозитория с сообщением о нарушении Условий использования.
В ReversingLabs подчеркнули, что такие инциденты подчеркивают сложность угроз цепочек поставок и необходимость тщательного анализа библиотек перед их загрузкой. Открытые репозитории, такие как NuGet, все чаще содержат подозрительные и вредоносные пакеты, целью которых является привлечение разработчиков и внедрение злонамеренных модулей в их рабочие процессы.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!