ReversingLabs Maatskappy toepassing analise resultate in die RubyGems-bewaarplek. Tipies word tikfoute gebruik om kwaadwillige pakkette te versprei wat ontwerp is om te veroorsaak dat 'n onoplettende ontwikkelaar 'n tikfout maak of nie die verskil opmerk wanneer hy soek nie. Die studie het meer as 700 pakkette geïdentifiseer met name soortgelyk aan gewilde pakkette, maar verskil in klein besonderhede, soos die vervanging van soortgelyke letters of die gebruik van onderstrepe in plaas van strepies.
Komponente wat vermoedelik kwaadwillige aktiwiteite uitvoer, is in meer as 400 pakkette gevind. Die lêer binne was veral aaa.png, wat uitvoerbare kode in PE-formaat ingesluit het. Hierdie pakkette is geassosieer met twee rekeninge waardeur RubyGems gepos is vanaf 16 Februarie tot 25 Februarie 2020 , wat in totaal sowat 95 duisend keer afgelaai is. Die navorsers het die RubyGems-administrasie ingelig en die geïdentifiseerde kwaadwillige pakkette is reeds uit die bewaarplek verwyder.
Van die problematiese pakkette wat geïdentifiseer is, was die gewildste "atlas-kliënt", wat met die eerste oogopslag feitlik nie onderskei kan word van die wettige pakket "". Die gespesifiseerde pakket is 2100 keer afgelaai (die normale pakket is 6496 keer afgelaai, dit wil sê gebruikers was verkeerd in byna 25% van die gevalle). Die oorblywende pakkette is gemiddeld 100-150 keer afgelaai en is gekamoefleer as ander pakkette deur gebruik te maak van 'n soortgelyke tegniek om onderstrepe en strepies te vervang (bv. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Die kwaadwillige pakkette het 'n PNG-lêer ingesluit wat 'n uitvoerbare lêer vir die Windows-platform bevat in plaas van 'n prent. Die lêer is gegenereer met behulp van die Ocra Ruby2Exe-nutsding en het 'n selfonttrekkingsargief met 'n Ruby-skrif en Ruby-tolk ingesluit. Tydens die installering van die pakket is die png-lêer hernoem na exe en begin. Tydens uitvoering is 'n VBScript-lêer geskep en by outorun gevoeg. Die gespesifiseerde kwaadwillige VBScript in 'n lus het die inhoud van die knipbord ontleed vir die teenwoordigheid van inligting wat herinner aan kripto-beursie-adresse, en as dit opgespoor word, het die beursienommer vervang met die verwagting dat die gebruiker nie die verskille sal opmerk nie en fondse na die verkeerde beursie sal oorplaas .
Die studie het getoon dat dit nie moeilik is om die toevoeging van kwaadwillige pakkette tot een van die gewildste bewaarplekke te bewerkstellig nie, en hierdie pakkette kan onopgemerk bly, ondanks 'n aansienlike aantal aflaaie. Daar moet kennis geneem word dat die probleem RubyGems en dek ander gewilde bewaarplekke. Byvoorbeeld, verlede jaar dieselfde navorsers in die NPM-bewaarplek is daar 'n kwaadwillige pakket genaamd bb-builder, wat 'n soortgelyke tegniek gebruik om 'n uitvoerbare lêer te begin om wagwoorde te steel. Voor dit was daar 'n agterdeur afhangende van die event-stream NPM-pakket, is die kwaadwillige kode ongeveer 8 miljoen keer afgelaai. Kwaadwillige pakkette ook in die PyPI-bewaarplek.
Bron: opennet.ru