Tehdit avcıları, NuGet paket yöneticisinde, muhtemelen endüstriyel ve dijital ekipman üretiminde uzmanlaşmış Çinli bir firmanın ürettiği araçlarla çalışan geliştiricileri hedef almak üzere tasarlanmış şüpheli bir paket tespit etti.
Söz konusu paket SqzrFramework480ReversingLabs'ın söylediğine göre ilk olarak 24 Ocak 2024'te yayınlandı. Yazıldığı an itibarıyla 2.999 kez indirildi.
Yazılım tedarik zinciri güvenlik firması, benzer davranış sergileyen başka bir paket bulamadığını söyledi.
Ancak kampanyanın muhtemelen kameralar, makine görüşü ve robotik kollarla donatılmış sistemlerde endüstriyel casusluk düzenlemek için kullanılabileceğini teorileştirdi.
SqzrFramework480'in görünüşte Bozhon Precision Industry Technology Co., Ltd. adlı Çinli bir firmaya bağlı olduğunun göstergesi, paketin simgesi için şirket logosunun bir versiyonunun kullanılmasından geliyor. “zhaoyushun1999” adlı bir Nuget kullanıcı hesabı tarafından yüklendi.
Kütüphanede, ekran görüntüleri alma, işlem başarılı olana kadar her 30 saniyede bir uzak IP adresine ping atma ve ekran görüntülerini oluşturulan ve söz konusu IP adresine bağlanan bir soket üzerinden aktarma özellikleriyle birlikte gelen “SqzrFramework480.dll” DLL dosyası mevcuttur. .
Güvenlik araştırmacısı Petar Kirhmajer, “Bu davranışların hiçbiri kesinlikle kötü niyetli değil. Ancak bir araya getirildiğinde alarma neden oluyorlar” dedi. “Ping, sızıntı sunucusunun canlı olup olmadığını görmek için bir kalp atışı kontrolü görevi görüyor.”
NPM paketi nodejs_net_server örneğinde olduğu gibi, veri iletişimi ve sızıntı için soketlerin kötü niyetli kullanımı daha önce yaygın olarak gözlemlenmişti.
Paketin arkasındaki kesin neden henüz belli değil, ancak saldırganların kurbanları tehlikeye atmak için görünüşte zararsız yazılımlarda kötü amaçlı kodları gizlemeye sürekli başvurduğu bilinen bir gerçek.
Alternatif, zararsız bir açıklama ise paketin bir geliştirici veya şirketle çalışan üçüncü bir taraf tarafından sızdırılmış olması olabilir.
Kirhmajer, “Aynı zamanda görünüşte kötü niyetli sürekli ekran yakalama davranışını da açıklayabilirler: Bu, bir geliştiricinin görüntüleri ana monitördeki kameradan bir çalışan istasyonuna aktarmasının bir yolu olabilir.” dedi.
Paketi çevreleyen belirsizlik bir yana, bulgular tedarik zinciri tehditlerinin karmaşık doğasının altını çiziyor ve kullanıcıların kütüphaneleri indirmeden önce incelemesini zorunlu kılıyor.
Kirhmajer, “NuGet gibi açık kaynaklı depolar, geliştiricilerin ilgisini çekmek ve onları kötü amaçlı kitaplıkları ve diğer modülleri indirmeleri ve geliştirme hatlarına dahil etmeleri için kandırmak üzere tasarlanmış şüpheli ve kötü amaçlı paketlere giderek daha fazla ev sahipliği yapıyor.” dedi.