26 de marzo de 2024Sala de prensaEspionaje industrial/Inteligencia de amenazas Los cazadores de amenazas han identificado un paquete sospechoso en el administrador de paquetes NuGet que probablemente esté diseñado para apuntar a desarrolladores que trabajan con herramientas fabricadas por una empresa china que se especializa en la fabricación de equipos industriales y digitales. El paquete en cuestión es SqzrFramework480, que según ReversingLabs se publicó por primera vez el 24 de enero de 2024. Se ha descargado 2999 veces al momento de escribir este artículo. La firma de seguridad de la cadena de suministro de software dijo que no encontró ningún otro paquete que mostrara un comportamiento similar. Sin embargo, teorizó que la campaña probablemente podría usarse para orquestar espionaje industrial en sistemas equipados con cámaras, visión artificial y brazos robóticos. La indicación de que SqzrFramework480 aparentemente está vinculado a una empresa china llamada Bozhon Precision Industry Technology Co., Ltd. proviene del uso de una versión del logotipo de la empresa para el icono del paquete. Fue subido por una cuenta de usuario de Nuget llamada «zhaoyushun1999». Dentro de la biblioteca hay un archivo DLL «SqzrFramework480.dll» que viene con funciones para tomar capturas de pantalla, hacer ping a una dirección IP remota cada 30 segundos hasta que la operación sea exitosa y transmitir las capturas de pantalla a través de un socket creado y conectado a dicha dirección IP. . «Ninguno de estos comportamientos es decididamente malicioso. Sin embargo, en conjunto, hacen saltar las alarmas», afirmó el investigador de seguridad Petar Kirhmajer. «El ping sirve como una comprobación de los latidos del corazón para ver si el servidor de exfiltración está activo». El uso malicioso de sockets para la comunicación y la exfiltración de datos se ha observado anteriormente, como en el caso del paquete npm nodejs_net_server. El motivo exacto detrás del paquete no está claro todavía, aunque es un hecho conocido que los adversarios recurren constantemente a ocultar código nefasto en software aparentemente benigno para comprometer a las víctimas. Una explicación alternativa e inocua podría ser que el paquete fue filtrado por un desarrollador o un tercero que trabaja con la empresa. «También pueden explicar un comportamiento de captura continua de pantalla aparentemente malicioso: podría ser simplemente una forma para que un desarrollador transmita imágenes desde la cámara en el monitor principal a una estación de trabajo», dijo Kirhmajer. Dejando a un lado la ambigüedad que rodea al paquete, los hallazgos subrayan la naturaleza complicada de las amenazas a la cadena de suministro, lo que hace imperativo que los usuarios examinen las bibliotecas antes de descargarlas. «Los repositorios de código abierto como NuGet albergan cada vez más paquetes sospechosos y maliciosos diseñados para atraer a los desarrolladores y engañarlos para que descarguen e incorporen bibliotecas maliciosas y otros módulos en sus procesos de desarrollo», dijo Kirhmajer. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link