Kompanya sa ReversingLabs resulta sa pagtuki sa aplikasyon sa repositoryo sa RubyGems. Kasagaran, ang typosquatting gigamit sa pag-apod-apod sa mga malisyosong pakete nga gidisenyo aron ang usa ka walay pagtagad nga developer makahimo og typo o dili makamatikod sa kalainan sa pagpangita. Giila sa pagtuon ang labaw pa sa 700 nga mga pakete nga adunay mga ngalan nga parehas sa mga sikat nga pakete apan lahi sa gagmay nga mga detalye, sama sa pag-ilis sa parehas nga mga letra o paggamit sa mga underscore imbes nga mga dash.
Ang mga sangkap nga gisuspetsahan nga naghimo og makadaot nga mga kalihokan nakit-an sa kapin sa 400 nga mga pakete. Sa partikular, ang file sa sulod kay aaa.png, nga naglakip sa executable code sa PE format. Kini nga mga pakete gilambigit sa duha ka mga account diin ang RubyGems gi-post gikan sa Pebrero 16 hangtod Pebrero 25, 2020 , nga sa kinatibuk-an gi-download mga 95 ka libo ka beses. Gipahibalo sa mga tigdukiduki ang administrasyon sa RubyGems ug ang giila nga mga malisyosong pakete gikuha na gikan sa repository.
Sa mga problema nga mga pakete nga giila, ang labing popular mao ang "atlas-kliyente", nga sa unang pagtan-aw halos dili mailhan gikan sa lehitimong pakete "". Ang espesipikong pakete gi-download sa 2100 ka beses (ang normal nga pakete gi-download 6496 ka beses, i.e. ang mga tiggamit nasayop sa halos 25% sa mga kaso). Ang nahabilin nga mga pakete gi-download sa aberids nga 100-150 ka beses ug gi-camouflag sama sa ubang mga pakete gamit ang parehas nga pamaagi sa pag-ilis sa mga underscore ug dash (pananglitan, taliwala sa : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Ang malisyosong mga pakete naglakip sa PNG file nga adunay usa ka executable file alang sa Windows platform imbes sa usa ka imahe. Ang file gihimo gamit ang Ocra Ruby2Exe utility ug gilakip ang usa ka self-extracting archive nga adunay Ruby script ug Ruby interpreter. Kung gi-install ang package, ang png file gi-rename sa exe ug gilunsad. Atol sa pagpatuman, usa ka VBScript file ang gihimo ug gidugang sa autorun. Ang gipiho nga malisyoso nga VBScript sa usa ka loop nag-analisar sa mga sulod sa clipboard alang sa presensya sa impormasyon nga nagpahinumdom sa mga adres sa crypto pitaka, ug kung namatikdan, gipulihan ang numero sa pitaka uban ang pagdahum nga ang user dili makamatikod sa mga kalainan ug pagbalhin sa mga pundo ngadto sa sayop nga pitaka .
Gipakita sa pagtuon nga dili lisud ang pagkuha sa mga malisyosong pakete nga idugang sa usa sa labing inila nga mga repositoryo, ug kini nga mga pakete mahimong magpabilin nga dili mamatikdan, bisan pa sa daghang mga pag-download. Kini kinahanglan nga nakita nga ang problema RubyGems ug naglangkob sa ubang mga sikat nga repositoryo. Pananglitan, sa miaging tuig ang sama nga mga tigdukiduki sa NPM repository adunay usa ka malisyoso nga pakete nga gitawag og bb-builder, nga naggamit sa usa ka susama nga teknik sa paglansad sa usa ka executable file aron mangawat sa mga password. Sa wala pa kini adunay usa ka backdoor depende sa event-stream NPM package, ang malisyoso nga code na-download mga 8 milyon ka beses. Malisyoso nga mga pakete usab sa PyPI repository.
Source: opennet.ru