La empresa de seguridad ReversingLabs ha identificado un paquete sospechoso en el administrador de paquetes NuGet que podría estar dirigido a desarrolladores que trabajan con herramientas de una empresa china especializada en equipos industriales y digitales. El paquete, llamado SqzrFramework480, ha sido descargado casi 3.000 veces desde su lanzamiento en enero de 2024.
ReversingLabs no ha encontrado otro paquete que muestre un comportamiento similar y teoriza que podría ser utilizado para llevar a cabo espionaje industrial en sistemas equipados con cámaras, visión por computadora y brazos robóticos. El paquete parece estar vinculado a Bozhon Precision Industry Technology Co., Ltd, una empresa china, debido al uso de su logo en el icono del paquete. Fue subido por un usuario de Nuget llamado «zhaoyushun1999«.
La librería contiene un archivo DLL con funciones para tal captura de pantalla, operaciones de ping y transmisión de pantalla a través de un socket conectado a una dirección IP remota. Aunque estas funciones no son maliciosas en sí mismas, en conjunto pueden ser una causa de preocupación.
El uso malintencionado de sockets para la extracción de datos ha sido observado anteriormente, lo que subraya la naturaleza complicada de las amenazas a la cadena de suministro. Todavía se desconoce el motivo exacto detrás del paquete, aunque se sabe que los atacantes están buscando formas de ocultar código malicioso en software aparentemente inofensivo.
Como medida de precaución, es importante que los usuarios examinen cuidadosamente las bibliotecas antes de descargarlas, ya que los repositorios de código abierto como NuGet están cada vez más inundados con paquetes sospechosos y maliciosos. La amenaza a la cadena de suministro es una cuestión complicada y en constante evolución que podría tener graves consecuencias para las empresas y organizaciones que no se protejan adecuadamente.
Vía The Hacker News
