ReversingLabsは3月26日(米国時間)、「Suspicious NuGet package grabs data from industrial systems」において、Microsoftが提供している.NET Frameworkのパッケージ管理システム「NuGet」から不審なパッケージ「SqzrFramework480」を発見したとして、その詳細を伝えた。このパッケージは中国のBOZHON Precision Industry Technologyの技術を利用する開発者を標的にしているとみられている。

  • Suspicious NuGet package grabs data from industrial systems

    Suspicious NuGet package grabs data from industrial systems

不審なパッケージ「SqzrFramework480」の正体

ReversingLabsの調査によると、このパッケージには不審なバイナリファイルとして「SqzrFramework480.dll」が含まれている。このダイナミックリンクライブラリ(DLL: Dynamic Link Library)には正常な機能としてGUIの管理および作成、マシンビジョンライブラリの初期化および設定、ロボットの動作設定などの機能を持つとされる。

  • パッケージ「SqzrFramework480」の配布ページ - 引用:ReversingLabs

    パッケージ「SqzrFramework480」の配布ページ 引用:ReversingLabs

ReversingLabsはこれら正規の機能のほか、スクリーンショットの取得、pingパケットの送信、通信機能が含まれているとして詳しく分析している。その結果、このライブラリにはスクリーンショットを取得してその画像データをリモートサーバに1分ごとに送信を続ける機能があるとされる。しかしながら、この機能はライブラリのロード時には自動的に実行されず、ライブラリを使用する開発者がInit関数を呼び出すことで動作するという。

  • スクリーンショットの窃取フロー - 引用:ReversingLabs

    スクリーンショットの窃取フロー 引用:ReversingLabs

影響と対策

このライブラリはスクリーンショットの取得に特化しており、簡単な難読化処理を施されていることから産業スパイツールとして配布された可能性がある。しかしながら、このライブラリにはBOZHONの製品仕様を知っている開発者のみが開発できる正規の機能が実装されており、BOZHONの従業員またはその関連会社から流出したツールの可能性もあると指摘されている。そのため、ReversingLabsはこのパッケージが悪意のあるものなのか断定できないとしている。

いずれにしても、このパッケージの使用はリスクを伴うため、開発者はインストールしないことが推奨される。また、同様の攻撃を回避するため、オープンリポジトリから配布されるライブラリを使用する場合は、パッケージをインストールする前に配布者の信頼性を検証し、パッケージの中身を調査、分析してから活用することが望まれている。