ReversingLabs Company Ergebnisse der Anwendungsanalyse im RubyGems-Repository. Normalerweise wird Typosquatting verwendet, um Schadpakete zu verbreiten, die dazu dienen sollen, dass ein unaufmerksamer Entwickler einen Tippfehler macht oder den Unterschied bei der Suche nicht bemerkt. Die Studie identifizierte mehr als 700 Pakete mit Namen, die beliebten Paketen ähneln, sich aber in kleinen Details unterscheiden, wie zum Beispiel durch das Ersetzen ähnlicher Buchstaben oder die Verwendung von Unterstrichen anstelle von Bindestrichen.
In mehr als 400 Paketen wurden Komponenten gefunden, die im Verdacht stehen, schädliche Aktivitäten auszuführen. Insbesondere handelte es sich bei der darin enthaltenen Datei um aaa.png, die ausführbaren Code im PE-Format enthielt. Diese Pakete waren mit zwei Konten verknüpft, über die RubyGems vom 16. bis 25. Februar 2020 veröffentlicht wurde , die insgesamt etwa 95 Mal heruntergeladen wurden. Die Forscher informierten die RubyGems-Administration und die identifizierten Schadpakete wurden bereits aus dem Repository entfernt.
Von den identifizierten problematischen Paketen war „atlas-client“ das beliebteste, das auf den ersten Blick praktisch nicht vom legitimen Paket zu unterscheiden ist.". Das angegebene Paket wurde 2100 Mal heruntergeladen (das normale Paket wurde 6496 Mal heruntergeladen, d. h. in fast 25 % der Fälle haben sich Benutzer geirrt). Die übrigen Pakete wurden im Durchschnitt 100–150 Mal heruntergeladen und mit einer ähnlichen Technik des Ersetzens von Unterstrichen und Bindestrichen (z. B. unter) als andere Pakete getarnt : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Zu den Schadpaketen gehörte eine PNG-Datei, die anstelle eines Bildes eine ausführbare Datei für die Windows-Plattform enthielt. Die Datei wurde mit dem Dienstprogramm Ocra Ruby2Exe generiert und enthielt ein selbstextrahierendes Archiv mit einem Ruby-Skript und einem Ruby-Interpreter. Bei der Installation des Pakets wurde die PNG-Datei in exe umbenannt und gestartet. Während der Ausführung wurde eine VBScript-Datei erstellt und zur Autorun-Funktion hinzugefügt. Das angegebene bösartige VBScript analysierte in einer Schleife den Inhalt der Zwischenablage auf das Vorhandensein von Informationen, die an Krypto-Wallet-Adressen erinnern, und ersetzte, wenn es erkannt wurde, die Wallet-Nummer durch die Erwartung, dass der Benutzer die Unterschiede nicht bemerken und Geld auf das falsche Wallet überweisen würde .
Die Studie zeigte, dass es nicht schwierig ist, schädliche Pakete zu einem der beliebtesten Repositories hinzuzufügen, und dass diese Pakete trotz einer erheblichen Anzahl von Downloads unentdeckt bleiben können. Es sollte beachtet werden, dass das Problem RubyGems und deckt andere beliebte Repositories ab. Zum Beispiel letztes Jahr dieselben Forscher Im NPM-Repository gibt es ein schädliches Paket namens bb-builder, das eine ähnliche Technik zum Starten einer ausführbaren Datei verwendet, um Passwörter zu stehlen. Davor gab es eine Hintertür Je nach Event-Stream-NPM-Paket wurde der Schadcode etwa 8 Millionen Mal heruntergeladen. Auch bösartige Pakete im PyPI-Repository.
Source: opennet.ru