ReversingLabs ኩባንያ የመተግበሪያ ትንተና ውጤቶች በ RubyGems ማከማቻ ውስጥ። በተለምዶ፣ ታይፖስኳቲንግ (Typosquatting) በትኩረት የጎደለው ገንቢ የትየባ እንዲያደርግ ወይም ሲፈልግ ልዩነቱን እንዳያስተውል ለማድረግ የተነደፉ ተንኮል አዘል ፓኬጆችን ለማሰራጨት ይጠቅማል። ጥናቱ ከ700 በላይ ፓኬጆችን ከታዋቂ ፓኬጆች ጋር ተመሳሳይነት ያላቸውን ነገር ግን በጥቃቅን ዝርዝሮች የሚለያዩ ለምሳሌ ተመሳሳይ ፊደሎችን በመተካት ወይም ከሰረዝ ይልቅ የግርጌ ማስታወሻዎችን በመጠቀም ለይቷል።
ተንኮል አዘል ድርጊቶችን በመፈፀም የተጠረጠሩ አካላት ከ400 በላይ ፓኬጆች ውስጥ ተገኝተዋል። በተለይም በውስጡ ያለው ፋይል aaa.png ነበር፣ እሱም በPE ቅርጸት የሚሰራ ኮድን አካቷል። እነዚህ ጥቅሎች RubyGems ከየካቲት 16 እስከ ፌብሩዋሪ 25፣ 2020 ከተለጠፈባቸው ሁለት መለያዎች ጋር ተቆራኝተዋል። በአጠቃላይ 95 ሺህ ጊዜ ያህል ወርዷል። ተመራማሪዎቹ ለ RubyGems አስተዳደር አሳውቀዋል እና ተለይተው የሚታወቁት ተንኮል አዘል ፓኬጆች ቀድሞውኑ ከማከማቻው ተወግደዋል።
ከተለዩት ችግር ጥቅሎች መካከል በጣም ታዋቂው "አትላስ-ደንበኛ" ነበር, እሱም በመጀመሪያ ሲታይ ከህጋዊው ጥቅል ፈጽሞ የማይለይ ነው.". የተገለጸው ፓኬጅ 2100 ጊዜ ወርዷል (የተለመደው ጥቅል 6496 ጊዜ ወርዷል፣ ማለትም ተጠቃሚዎች በ25% ከሚሆኑ ጉዳዮች ተሳስተዋል)። የተቀሩት ፓኬጆች በአማካይ ከ100-150 ጊዜ ወርደው እንደሌሎች ጥቅሎች ተቀርፀው ነበር ተመሳሳይ ቴክኒኮችን እና ሰረዞችን በመተካት (ለምሳሌ ፣ : appium-lib፣ action-mailer_cache_delivery፣ activemodel_validators፣ asciidoctor_bibliography፣ ንብረቶች-ቧንቧ፣ apress_validators፣ ar_octopus-replication-tracking፣ alyun-open_search፣ aliyun-mns፣ ab_split፣ apns-polite)።
ተንኮል አዘል ጥቅሎቹ ከምስል ይልቅ ለዊንዶውስ ፕላትፎርም የሚተገበር ፋይል የያዘ የPNG ፋይል አካተዋል። ፋይሉ የመነጨው Ocra Ruby2Exe መገልገያን በመጠቀም ነው እና እራሱን የሚያወጣ ማህደር ከሩቢ ስክሪፕት እና ከሩቢ አስተርጓሚ ጋር አካቷል። ጥቅሉን በሚጭኑበት ጊዜ, png ፋይል ወደ exe ተቀይሯል እና ተጀምሯል. በአፈጻጸም ወቅት፣ የVBScript ፋይል ተፈጥሯል እና ወደ autorun ታክሏል። የተገለጸው ተንኮል አዘል ቪቢስክሪፕት በ loop የክሊፕ ቦርዱ ይዘት የ crypto የኪስ ቦርሳ አድራሻዎችን የሚያስታውስ መረጃ እንዲኖር የመረመረ ሲሆን ከተገኘ ተጠቃሚው ልዩነቱን እንዳላስተውል እና ገንዘቡን ወደተሳሳተ የኪስ ቦርሳ እንዳያስተላልፍ በመጠበቅ የኪስ ቦርሳውን ቁጥር ተክቷል። .
ጥናቱ እንደሚያሳየው ተንኮል-አዘል ፓኬጆችን ወደ አንዱ በጣም ተወዳጅ ማከማቻዎች መጨመር አስቸጋሪ አይደለም, እና እነዚህ ጥቅሎች ብዙ ቁጥር ያላቸው ውርዶች ሳይገኙ ሊቆዩ ይችላሉ. ችግሩ መሆኑን ልብ ሊባል ይገባል RubyGems እና ሌሎች ታዋቂ ማከማቻዎችን ይሸፍናል። ለምሳሌ, ባለፈው አመት ተመሳሳይ ተመራማሪዎች በNPM ማከማቻ ውስጥ bb-builder የሚባል ተንኮል አዘል ፓኬጅ አለ፣ ይህም የይለፍ ቃሎችን ለመስረቅ የሚተገበር ፋይልን ለማስጀመር ተመሳሳይ ዘዴ ይጠቀማል። ከዚህ በፊት የኋላ በር ነበር። በክስተት-ዥረት NPM ጥቅል ላይ በመመስረት፣ ተንኮል አዘል ኮድ ወደ 8 ሚሊዮን ጊዜ ያህል ወርዷል። ተንኮል አዘል ፓኬጆችም እንዲሁ በPyPI ማከማቻ ውስጥ።
ምንጭ: opennet.ru