Троян в репозитории: загадочный SqzrFramework480 нацелился на промышленные сети

В начале 2024 года сообщество разработчиков обнаружило необычный пакет в репозитории NuGet, который вызвал тревогу среди экспертов по кибербезопасности из ReversingLabs. Под названием SqzrFramework480, этот пакет, опубликованный пользователем zhaoyushun1999, быстро привлек внимание, будучи загруженным более 3000 раз. Все признаки указывали на то, что он мог быть ориентирован на тех, кто работает с высокотехнологичным оборудованием китайской компании Bozhon, известной своими инновациями в промышленности и робототехнике.

SqzrFramework480 включает в себя библиотеку SqzrFramework480.dll с довольно подозрительными возможностями, такими как создание скриншотов и регулярная отправка их на внешний IP-адрес. Такие функции могут быть нормальными для некоторых приложений, но их сочетание в одном пакете вызывает сомнения, особенно когда они используются в контексте промышленных систем управления.

Ключевой момент, который усиливает подозрения, — это связь SqzrFramework480 с Bozhon, подтверждаемая использованием логотипа компании в качестве иконки пакета. Это может указывать на попытку обмануть пользователей, заставив их думать, что пакет официальный.

Интересно, что хотя поведение SqzrFramework480 кажется подозрительным, есть предположения, что его создание могло быть не злонамеренным. Возможно, что разработчик или его партнеры могли случайно разместить внутренний инструмент, используемый для диагностики или обслуживания оборудования.

Тем не менее, пакет уже удален из NuGet из-за нарушения условий использования, оставив за собой множество вопросов и напоминание о необходимости бдительности при работе с публичными репозиториями кода.