Společnost ReversingLabs výsledky aplikační analýzy v úložišti RubyGems. Typosquatting se obvykle používá k distribuci škodlivých balíčků navržených tak, aby způsobily, že nepozorný vývojář udělá překlep nebo si nevšimne rozdílu při vyhledávání. Studie identifikovala více než 700 balíčků s názvy podobnými oblíbeným balíčkům, které se však liší v drobných detailech, jako je nahrazení podobných písmen nebo použití podtržítek místo pomlček.
Komponenty podezřelé z provádění škodlivých činností byly nalezeny ve více než 400 balíčcích. Konkrétně byl uvnitř soubor aaa.png, který obsahoval spustitelný kód ve formátu PE. Tyto balíčky byly spojeny se dvěma účty, přes které byly RubyGems odesílány od 16. února do 25. února 2020 , které byly celkem staženy asi 95 tisíckrát. Výzkumníci informovali administraci RubyGems a identifikované škodlivé balíčky již byly z úložiště odstraněny.
Z identifikovaných problematických balíčků byl nejoblíbenější „atlas-client“, který je na první pohled prakticky k nerozeznání od legitimního balíčku „". Uvedený balíček byl stažen 2100krát (normální balíček byl stažen 6496krát, tj. uživatelé se mýlili v téměř 25 % případů). Zbývající balíčky byly staženy v průměru 100–150krát a byly maskovány jako jiné balíčky pomocí podobné techniky nahrazování podtržítek a pomlček (např. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Škodlivé balíčky obsahovaly soubor PNG, který místo obrázku obsahoval spustitelný soubor pro platformu Windows. Soubor byl vygenerován pomocí nástroje Ocra Ruby2Exe a obsahoval samorozbalovací archiv se skriptem Ruby a interpretem Ruby. Při instalaci balíčku byl soubor png přejmenován na exe a spuštěn. Během provádění byl vytvořen soubor VBScript a přidán do automatického spouštění. Zadaný škodlivý VBScript ve smyčce analyzoval obsah schránky na přítomnost informací připomínajících adresy kryptopeněženky, a pokud je detekován, nahradil číslo peněženky s očekáváním, že si uživatel nevšimne rozdílů a převede prostředky do nesprávné peněženky. .
Studie ukázala, že není těžké dosáhnout přidání škodlivých balíčků do jednoho z nejoblíbenějších úložišť a tyto balíčky mohou zůstat neodhaleny, navzdory značnému počtu stažení. Nutno podotknout, že problém RubyGems a pokrývá další populární úložiště. Například loni stejní výzkumníci v úložišti NPM se nachází škodlivý balíček nazvaný bb-builder, který používá podobnou techniku spuštění spustitelného souboru ke krádeži hesel. Před tím tu byla zadní vrátka v závislosti na balíčku NPM událostí stream byl škodlivý kód stažen asi 8 milionůkrát. Škodlivé balíčky také v úložišti PyPI.
Zdroj: opennet.ru