Cwmni ReversingLabs canlyniadau dadansoddiad cais yn ystorfa RubyGems. Yn nodweddiadol, defnyddir typosquatting i ddosbarthu pecynnau maleisus sydd wedi'u cynllunio i achosi i ddatblygwr nad yw'n talu sylw i deipio neu beidio â sylwi ar y gwahaniaeth wrth chwilio. Nododd yr astudiaeth fwy na 700 o becynnau ag enwau tebyg i becynnau poblogaidd ond yn amrywio o ran mân fanylion, megis rhoi llythrennau tebyg yn lle llythrennau tebyg neu ddefnyddio tanlinellau yn lle llinellau toriad.
Darganfuwyd cydrannau yr amheuir eu bod yn cyflawni gweithgareddau maleisus mewn mwy na 400 o becynnau. Yn benodol, roedd y ffeil y tu mewn yn aaa.png, a oedd yn cynnwys cod gweithredadwy mewn fformat PE. Roedd y pecynnau hyn yn gysylltiedig â dau gyfrif y postiwyd RubyGems drwyddynt rhwng Chwefror 16 a Chwefror 25, 2020 , a lawrlwythwyd cyfanswm o tua 95 mil o weithiau. Hysbysodd yr ymchwilwyr weinyddiaeth RubyGems ac mae'r pecynnau maleisus a nodwyd eisoes wedi'u tynnu o'r ystorfa.
O’r pecynnau problemus a nodwyd, y mwyaf poblogaidd oedd “atlas-client”, sydd ar yr olwg gyntaf bron yn anwahanadwy oddi wrth y pecyn cyfreithlon “" . Cafodd y pecyn penodedig ei lawrlwytho 2100 o weithiau (lawrlwythwyd y pecyn arferol 6496 o weithiau, h.y. roedd defnyddwyr yn anghywir mewn bron i 25% o achosion). Ar gyfartaledd, lawrlwythwyd y pecynnau a oedd yn weddill 100-150 o weithiau a chawsant eu cuddliwio fel pecynnau eraill gan ddefnyddio techneg debyg o ailosod tanlinellau a llinellau toriad (er enghraifft, ymhlith : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-gwrtais).
Roedd y pecynnau maleisus yn cynnwys ffeil PNG a oedd yn cynnwys ffeil weithredadwy ar gyfer platfform Windows yn lle delwedd. Cynhyrchwyd y ffeil gan ddefnyddio cyfleustodau Ocra Ruby2Exe ac roedd yn cynnwys archif hunan-dynnu gyda sgript Ruby a dehonglydd Ruby. Wrth osod y pecyn, ailenwyd y ffeil png i exe a'i lansio. Yn ystod y gweithredu, crëwyd ffeil VBScript a'i hychwanegu at autorun. Dadansoddodd y VBScript maleisus penodedig mewn dolen gynnwys y clipfwrdd am bresenoldeb gwybodaeth sy'n atgoffa rhywun o gyfeiriadau waled crypto, ac os caiff ei ganfod, disodlwyd rhif y waled gyda'r disgwyliad na fyddai'r defnyddiwr yn sylwi ar y gwahaniaethau a throsglwyddo arian i'r waled anghywir .
Dangosodd yr astudiaeth nad yw'n anodd ychwanegu pecynnau maleisus at un o'r ystorfeydd mwyaf poblogaidd, a gall y pecynnau hyn aros heb eu canfod, er gwaethaf nifer sylweddol o lawrlwythiadau. Dylid nodi bod y broblem RubyGems ac mae'n cwmpasu storfeydd poblogaidd eraill. Er enghraifft, y llynedd yr un ymchwilwyr yn ystorfa NPM mae pecyn maleisus o'r enw bb-builder, sy'n defnyddio techneg debyg o lansio ffeil gweithredadwy i ddwyn cyfrineiriau. Cyn hyn roedd drws cefn yn dibynnu ar becyn NPM ffrwd y digwyddiad, lawrlwythwyd y cod maleisus tua 8 miliwn o weithiau. Pecynnau maleisus hefyd yn y storfa PyPI.
Ffynhonnell: opennet.ru