Os caçadores de ameaças identificaram um pacote suspeito no gerenciador de pacotes NuGet que provavelmente foi projetado para atingir desenvolvedores que trabalham com ferramentas fabricadas por uma empresa chinesa especializada na fabricação de equipamentos industriais e digitais.
O pacote em questão é SqzrFramework480que o ReversingLabs disse ter sido publicado pela primeira vez em 24 de janeiro de 2024. Ele foi baixado 2.999 vezes até o momento.
A empresa de segurança da cadeia de suprimentos de software program disse que não encontrou nenhum outro pacote que apresentasse comportamento semelhante.
No entanto, teorizou que a campanha provavelmente poderia ser usada para orquestrar espionagem industrial em sistemas equipados com câmeras, visão mecânica e braços robóticos.
A indicação de que o SqzrFramework480 está aparentemente ligado a uma empresa chinesa chamada Bozhon Precision Trade Expertise Co., Ltd. vem do uso de uma versão do logotipo da empresa para o ícone do pacote. Ele foi carregado por uma conta de usuário Nuget chamada “zhaoyushun1999”.
Presente na biblioteca está um arquivo DLL “SqzrFramework480.dll” que vem com recursos para fazer capturas de tela, executar ping em um endereço IP remoto a cada 30 segundos até que a operação seja bem-sucedida e transmitir as capturas de tela por meio de um soquete criado e conectado ao referido endereço IP .
“Nenhum desses comportamentos é decididamente malicioso. No entanto, quando tomados em conjunto, disparam alarmes”, disse o pesquisador de segurança Petar Kirhmajer. “O ping serve como uma verificação de pulsação para ver se o servidor de exfiltração está ativo.”
O uso malicioso de soquetes para comunicação e exfiltração de dados já foi observado anteriormente, como no caso do pacote npm nodejs_net_server.
O motivo exato por trás do pacote ainda não está claro, embora seja um fato conhecido que os adversários recorrem constantemente à ocultação de códigos nefastos em software program aparentemente benigno para comprometer as vítimas.
Uma explicação alternativa e inócua poderia ser que o pacote foi vazado por um desenvolvedor ou terceiro que trabalha com a empresa.
“Eles também podem explicar o comportamento aparentemente malicioso de captura contínua de tela: poderia ser simplesmente uma maneira de um desenvolvedor transmitir imagens da câmera no monitor principal para uma estação de trabalho”, disse Kirhmajer.
Deixando de lado a ambigüidade em torno do pacote, as descobertas ressaltam a natureza complicada das ameaças à cadeia de suprimentos, tornando imperativo que os usuários examinem as bibliotecas antes de baixá-las.
“Repositórios de código aberto como o NuGet estão hospedando cada vez mais pacotes suspeitos e maliciosos projetados para atrair desenvolvedores e induzi-los a baixar e incorporar bibliotecas maliciosas e outros módulos em seus pipelines de desenvolvimento”, disse Kirhmajer.
.jpg?w=390&resize=390,220&ssl=1)
