Empresa ReversingLabs resultats de l'anàlisi de l'aplicació al dipòsit de RubyGems. Normalment, el typosquatting s'utilitza per distribuir paquets maliciosos dissenyats per fer que un desenvolupador desattent cometi una errada ortogràfica o no noti la diferència en cercar. L'estudi va identificar més de 700 paquets amb noms similars als paquets populars però que difereixen en detalls menors, com ara substituir lletres similars o utilitzar guions baixos en lloc de guions.
Es van trobar components sospitosos de realitzar activitats malicioses en més de 400 paquets. En particular, el fitxer interior era aaa.png, que incloïa codi executable en format PE. Aquests paquets estaven associats a dos comptes a través dels quals es va publicar RubyGems del 16 al 25 de febrer de 2020. , que en total es van descarregar unes 95 mil vegades. Els investigadors van informar a l'administració de RubyGems i els paquets maliciosos identificats ja s'han eliminat del dipòsit.
Dels paquets problemàtics identificats, el més popular va ser "atles-client", que a primera vista pràcticament no es pot distingir del paquet legítim "". El paquet especificat es va descarregar 2100 vegades (el paquet normal es va descarregar 6496 vegades, és a dir, els usuaris s'equivocaven en gairebé el 25% dels casos). La resta de paquets es van descarregar de mitjana entre 100 i 150 vegades i es van camuflar com altres paquets utilitzant una tècnica similar de substitució de guions baixos i guions (per exemple, entre : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Els paquets maliciosos incloïen un fitxer PNG que contenia un fitxer executable per a la plataforma Windows en lloc d'una imatge. El fitxer es va generar mitjançant la utilitat Ocra Ruby2Exe i incloïa un arxiu autoextractible amb un script Ruby i un intèrpret Ruby. En instal·lar el paquet, el fitxer png es va canviar de nom a exe i es va llançar. Durant l'execució, es va crear un fitxer VBScript i es va afegir a l'execució automàtica. El VBScript maliciós especificat en un bucle va analitzar el contingut del porta-retalls per detectar la presència d'informació que recordava adreces de cartera criptogràfica i, si es detectava, va substituir el número de cartera amb l'esperança que l'usuari no notaria les diferències i transferís fons a la cartera incorrecta. .
L'estudi va demostrar que no és difícil aconseguir l'addició de paquets maliciosos a un dels repositoris més populars, i aquests paquets poden romandre sense ser detectats, malgrat un nombre important de descàrregues. Cal tenir en compte que el problema RubyGems i cobreix altres repositoris populars. Per exemple, l'any passat els mateixos investigadors al repositori NPM hi ha un paquet maliciós anomenat bb-builder, que utilitza una tècnica similar per llançar un fitxer executable per robar contrasenyes. Abans d'això hi havia una porta del darrere depenent del paquet NPM del flux d'esdeveniments, el codi maliciós es va baixar uns 8 milions de vegades. També paquets maliciosos al repositori PyPI.
Font: opennet.ru