研究者たちは、産業スパイウェアを隠している可能性がある人気のオープンソースパッケージを特定した。このパッケージ「SqzrFramework480」は、中国の消費者電子製品および様々な産業技術を製造するBozhon Precision Industry Technology Co.に関連していると思われる.NET動的リンクライブラリ(DLL)である。このファイルは、グラフィカルユーザーインターフェース(GUI)の管理と作成、機械視覚ライブラリの初期化と設定、ロボットの動きの設定の調整などの機能を持つとされている。1月24日にNuGetオープンソースリポジトリにアップロードされ、既に3,000回ダウンロードされている。
ReversingLabsの研究者たちは、スクリーンショットのキャプチャ、ソケットの開放、隠されたIPアドレスへのデータの抽出を行うメソッドが埋め込まれているため、SqzrFramework480を疑わしいと指摘した。このメソッド「Init」は、リモートIPアドレスにピングを送ることから始まる。ピングが成功しない場合、プログラムはスリープ状態になり、30秒後に再試行する。成功すると、ソケットを開いてそのIPアドレスに接続し、インストールされたモニターのスクリーンショットを取り、バイト配列にパッケージ化してソケットを通じて送信する。
SqzrFramework480の背後にある意図は明確ではないが、研究者たちは、パッケージを盲目的に信頼しないこと、可能であれば自分で監査するか、リソースがない場合はパッケージを自動的にスキャンするツールを使用することを提案している。
【ニュース解説】
最近、ReversingLabsの研究者たちが、産業スパイウェアを隠している可能性があるとして、あるオープンソースパッケージ「SqzrFramework480」に注目しました。このパッケージは.NET動的リンクライブラリ(DLL)で、グラフィカルユーザーインターフェース(GUI)の管理や機械視覚ライブラリの設定、ロボットの動きの調整などの機能を持つとされています。しかし、その中にはスクリーンショットをキャプチャし、隠されたIPアドレスへデータを送信するメソッド「Init」が含まれていることが発見されました。
この発見は、産業システムに対するサイバー攻撃の新たな形態を示唆しています。特に、このパッケージが中国の企業に関連していることから、国家支援の産業スパイ活動の可能性も指摘されています。しかし、このパッケージが実際に悪意のある目的で使用されているのか、それとも別の無害な用途があるのかは、現時点では明確ではありません。
この事例は、オープンソースソフトウェアの安全性に対する警鐘を鳴らしています。オープンソースは、その自由度の高さから多くの開発者に利用されていますが、その一方で、悪意のあるコードが埋め込まれるリスクも伴います。このため、ReversingLabsの研究者たちは、オープンソースパッケージを盲目的に信頼せず、可能であれば自分で監査するか、自動的にスキャンするツールを使用することを推奨しています。
このニュースは、サイバーセキュリティの分野における新たな課題を浮き彫りにしています。特に、産業システムやインフラに対するサイバー攻撃は、社会全体に大きな影響を与える可能性があります。そのため、開発者や企業だけでなく、政府や規制機関も含めた幅広い関係者が、サイバーセキュリティの強化に向けて協力することが求められています。また、このような脅威に対処するための技術的な解決策の開発も、今後の重要な課題となるでしょう。
from Dubious NuGet Package May Portend Chinese Industrial Espionage.
