ReversingLabs şirkəti tətbiqi təhlili nəticələri RubyGems deposunda. Tipik olaraq, typosquatting, diqqətsiz tərtibatçının axtarış zamanı səhv etməsinə və ya fərqi görməməsinə səbəb olmaq üçün hazırlanmış zərərli paketləri yaymaq üçün istifadə olunur. Tədqiqat məşhur paketlərə bənzər, lakin oxşar hərfləri əvəz etmək və ya tire əvəzinə alt xətt işarələrindən istifadə etmək kimi kiçik detallarda fərqlənən 700-dən çox paket müəyyən edib.
400-dən çox paketdə zərərli fəaliyyət göstərməkdə şübhəli bilinən komponentlər aşkar edilib. Xüsusilə, içərisində olan fayl aaa.png idi, PE formatında icra edilə bilən kodu ehtiva edir. Bu paketlər RubyGems-in 16 fevral - 25 fevral 2020-ci il tarixləri arasında yerləşdirildiyi iki hesabla əlaqələndirilmişdir. , bunlar ümumilikdə 95 min dəfə yüklənib. Tədqiqatçılar RubyGems administrasiyasına məlumat verdilər və müəyyən edilmiş zərərli paketlər artıq depodan silinib.
Müəyyən edilmiş problemli paketlərdən ən populyarı ilk baxışda qanuni paketdən praktiki olaraq fərqlənməyən “atlas-müştəri” olub.". Göstərilən paket 2100 dəfə endirilib (normal paket 6496 dəfə yüklənib, yəni istifadəçilər demək olar ki, 25% hallarda səhv ediblər). Qalan paketlər orta hesabla 100-150 dəfə endirilib və alt xəttləri və tireləri əvəz etmək üçün oxşar texnikadan istifadə edərək digər paketlər kimi kamuflyaj edilib (məsələn, : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replikasiya-izləmə, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Zərərli paketlərə şəkil əvəzinə Windows platforması üçün icra edilə bilən fayl olan PNG faylı daxil idi. Fayl Ocra Ruby2Exe yardım proqramından istifadə edərək yaradılıb və Ruby skripti və Ruby tərcüməçisi ilə öz-özünə açılan arxivi ehtiva edir. Paketi quraşdırarkən png faylının adı exe olaraq dəyişdirildi və işə salındı. İcra zamanı VBScript faylı yaradıldı və autorun-a əlavə edildi. Döngüdə göstərilən zərərli VBScript, kripto pul kisəsinin ünvanlarını xatırladan məlumatın olub-olmaması üçün mübadilə buferinin məzmununu təhlil etdi və aşkar edilərsə, istifadəçinin fərqləri görməyəcəyi və pul vəsaitlərini səhv pul kisəsinə köçürəcəyi gözləntiləri ilə pul kisəsinin nömrəsini dəyişdirdi. .
Tədqiqat göstərdi ki, ən populyar repozitoriyalardan birinə zərərli paketlərin əlavə edilməsinə nail olmaq çətin deyil və bu paketlər əhəmiyyətli sayda yükləmələrə baxmayaraq, aşkar edilmədən qala bilər. Qeyd etmək lazımdır ki, problem RubyGems və digər məşhur depoları əhatə edir. Məsələn, keçən il eyni tədqiqatçılar NPM anbarında parolları oğurlamaq üçün icra olunan faylı işə salmaq üçün oxşar texnikadan istifadə edən bb-builder adlı zərərli paket var. Bundan əvvəl arxa qapı var idi hadisə axını NPM paketindən asılı olaraq, zərərli kod təxminən 8 milyon dəfə endirilib. Zərərli paketlər də PyPI deposunda.
Mənbə: opennet.ru