Pacote NuGet Suspeito Provavelmente Vinculado a Espionagem Industrial Mira Desenvolvedores
27 de Março de 2024

Caçadores de ameaças identificaram um pacote suspeito no gerenciador de pacotes NuGet que provavelmente foi projetado para visar desenvolvedores que trabalham com ferramentas feitas por uma empresa chinesa especializada na fabricação de equipamentos digitais e industriais.

O pacote em questão é o SqzrFramework480, que, segundo a ReversingLabs, foi publicado pela primeira vez em 24 de janeiro de 2024.

Até o momento da redação, foi baixado 2.999 vezes.

A empresa de segurança da cadeia de suprimento de software disse que não encontrou nenhum outro pacote que apresentasse comportamento similar.

No entanto, teorizou que a campanha poderia ser usada para orquestrar espionagem industrial em sistemas equipados com câmeras, visão de máquina e braços robóticos.

A indicação de que o SqzrFramework480 está aparentemente ligado a uma empresa chinesa chamada Bozhon Precision Industry Technology Co., Ltd.

vem do uso de uma versão do logotipo da empresa para o ícone do pacote.

Foi carregado por uma conta de usuário Nuget chamada "zhaoyushun1999".

Presente na biblioteca está um arquivo DLL "SqzrFramework480.dll" que possui recursos para tirar capturas de tela, fazer ping em um endereço IP remoto a cada 30 segundos até que a operação seja bem-sucedida, e transmitir as capturas de tela por um soquete criado e conectado ao referido endereço IP.

"Nenhum desses comportamentos é resolutamente malicioso.

No entanto, quando tomados em conjunto, eles levantam alarmes", disse o pesquisador de segurança Petar Kirhmajer.

"O ping serve como uma verificação de atividade para ver se o servidor de exfiltração está funcionando."

O uso malicioso de soquetes para comunicação e exfiltração de dados já foi observado no passado, como no caso do pacote npm nodejs_net_server.

O motivo exato por trás do pacote ainda não está claro, embora seja um fato conhecido que os adversários estão gradualmente recorrendo a ocultar códigos nefastos em softwares aparentemente benignos para comprometer as vítimas.

Uma explicação alternativa e inofensiva poderia ser que o pacote foi vazado por um desenvolvedor ou por uma terceira parte que trabalha com a empresa.

"Eles também podem explicar o aparente comportamento malicioso de captura contínua de tela: pode simplesmente ser uma maneira do desenvolvedor transmitir imagens da câmera no monitor principal para uma estação de trabalho", disse Kirhmajer.

A incerteza em torno do pacote à parte, os resultados destacam a natureza complicada das ameaças à cadeia de suprimentos, tornando imperativo que os usuários examinem as bibliotecas antes de baixá-las.

"Os repositórios de código aberto como o NuGet estão cada vez mais hospedando pacotes suspeitos e maliciosos projetados para atrair desenvolvedores e enganá-los para que baixem e incorporem bibliotecas maliciosas e outros módulos em suas pipelines de desenvolvimento", disse Kirhmajer.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...