ReversingLabs Company applikationsanalyseresultater i RubyGems-depotet. Typosquatting bruges typisk til at distribuere ondsindede pakker designet til at få en uopmærksom udvikler til at lave en tastefejl eller ikke bemærke forskellen, når de søger. Undersøgelsen identificerede mere end 700 pakker med navne, der ligner populære pakker, men som adskiller sig i mindre detaljer, såsom at erstatte lignende bogstaver eller bruge understregninger i stedet for bindestreger.
Komponenter, der mistænkes for at udføre ondsindede aktiviteter, blev fundet i mere end 400 pakker. Især filen inde var aaa.png, som inkluderede eksekverbar kode i PE-format. Disse pakker var knyttet til to konti, hvorigennem RubyGems blev sendt fra 16. februar til 25. februar 2020 , som i alt blev downloadet omkring 95 tusinde gange. Forskerne informerede RubyGems-administrationen, og de identificerede ondsindede pakker er allerede blevet fjernet fra depotet.
Af de identificerede problematiske pakker var den mest populære "atlas-klient", som ved første øjekast praktisk talt ikke kan skelnes fra den legitime pakke "". Den angivne pakke blev downloadet 2100 gange (den normale pakke blev downloadet 6496 gange, dvs. brugerne tog fejl i næsten 25 % af tilfældene). De resterende pakker blev downloadet i gennemsnit 100-150 gange og blev camoufleret som andre pakker ved hjælp af en lignende teknik til at erstatte understregninger og bindestreger (f.eks. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
De ondsindede pakker inkluderede en PNG-fil, der indeholdt en eksekverbar fil til Windows-platformen i stedet for et billede. Filen blev genereret ved hjælp af Ocra Ruby2Exe-værktøjet og inkluderede et selvudpakkende arkiv med et Ruby-script og Ruby-fortolker. Ved installation af pakken blev png-filen omdøbt til exe og lanceret. Under udførelsen blev en VBScript-fil oprettet og tilføjet til autorun. Det angivne ondsindede VBScript i en løkke analyserede indholdet af udklipsholderen for tilstedeværelsen af oplysninger, der minder om crypto wallet-adresser, og hvis det blev opdaget, erstattede det tegnebogsnummeret med forventning om, at brugeren ikke ville bemærke forskellene og overføre penge til den forkerte tegnebog .
Undersøgelsen viste, at det ikke er svært at opnå tilføjelse af ondsindede pakker til et af de mest populære depoter, og disse pakker kan forblive uopdagede på trods af et betydeligt antal downloads. Det skal bemærkes, at problemet RubyGems og dækker andre populære depoter. For eksempel sidste år de samme forskere i NPM-lageret er der en ondsindet pakke kaldet bb-builder, som bruger en lignende teknik til at starte en eksekverbar fil for at stjæle adgangskoder. Før dette var der en bagdør afhængig af event-stream NPM-pakken blev den ondsindede kode downloadet omkring 8 millioner gange. Ondsindede pakker også i PyPI-depotet.
Kilde: opennet.ru