ReversingLabs Company αποτελέσματα ανάλυσης εφαρμογής στο αποθετήριο RubyGems. Συνήθως, το typosquatting χρησιμοποιείται για τη διανομή κακόβουλων πακέτων που έχουν σχεδιαστεί για να κάνουν έναν απρόσεκτο προγραμματιστή να κάνει ένα τυπογραφικό λάθος ή να μην παρατηρεί τη διαφορά κατά την αναζήτηση. Η μελέτη εντόπισε περισσότερα από 700 πακέτα με ονόματα παρόμοια με τα δημοφιλή πακέτα αλλά διαφέρουν σε μικρές λεπτομέρειες, όπως η αντικατάσταση παρόμοιων γραμμάτων ή η χρήση υπογράμμισης αντί για παύλες.
Σε περισσότερες από 400 συσκευασίες βρέθηκαν εξαρτήματα που είναι ύποπτα για κακόβουλες δραστηριότητες. Συγκεκριμένα, το αρχείο μέσα ήταν aaa.png, το οποίο περιλάμβανε εκτελέσιμο κώδικα σε μορφή PE. Αυτά τα πακέτα συσχετίστηκαν με δύο λογαριασμούς μέσω των οποίων το RubyGems δημοσιεύτηκε από τις 16 Φεβρουαρίου έως τις 25 Φεβρουαρίου 2020 , τα οποία συνολικά κατέβηκαν περίπου 95 χιλιάδες φορές. Οι ερευνητές ενημέρωσαν τη διοίκηση του RubyGems και τα εντοπισμένα κακόβουλα πακέτα έχουν ήδη αφαιρεθεί από το αποθετήριο.
Από τα προβληματικά πακέτα που εντοπίστηκαν, το πιο δημοφιλές ήταν το "atlas-client", το οποίο εκ πρώτης όψεως δεν διακρίνεται πρακτικά από το νόμιμο πακέτο "". Το καθορισμένο πακέτο λήφθηκε 2100 φορές (το κανονικό πακέτο λήφθηκε 6496 φορές, δηλαδή οι χρήστες έκαναν λάθος σχεδόν στο 25% των περιπτώσεων). Τα υπόλοιπα πακέτα κατεβάστηκαν κατά μέσο όρο 100-150 φορές και καμουφλαρίστηκαν ως άλλα πακέτα χρησιμοποιώντας παρόμοια τεχνική αντικατάστασης υπογραμμών και παύλων (για παράδειγμα, μεταξύ : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Τα κακόβουλα πακέτα περιλάμβαναν ένα αρχείο PNG που περιείχε ένα εκτελέσιμο αρχείο για την πλατφόρμα των Windows αντί για μια εικόνα. Το αρχείο δημιουργήθηκε χρησιμοποιώντας το βοηθητικό πρόγραμμα Ocra Ruby2Exe και περιελάμβανε ένα αρχείο αυτοεξαγωγής με σενάριο Ruby και διερμηνέα Ruby. Κατά την εγκατάσταση του πακέτου, το αρχείο png μετονομάστηκε σε exe και εκκινήθηκε. Κατά την εκτέλεση, δημιουργήθηκε ένα αρχείο VBScript και προστέθηκε στο autorun. Το καθορισμένο κακόβουλο VBScript σε βρόχο ανέλυσε τα περιεχόμενα του προχείρου για την παρουσία πληροφοριών που θυμίζουν διευθύνσεις κρυπτογραφικού πορτοφολιού και, αν εντοπιστεί, αντικατέστησε τον αριθμό του πορτοφολιού με την προσδοκία ότι ο χρήστης δεν θα παρατηρούσε τις διαφορές και θα μεταφέρει χρήματα σε λάθος πορτοφόλι .
Η μελέτη έδειξε ότι δεν είναι δύσκολο να επιτευχθεί η προσθήκη κακόβουλων πακέτων σε ένα από τα πιο δημοφιλή αποθετήρια και αυτά τα πακέτα μπορούν να παραμείνουν απαρατήρητα, παρά τον σημαντικό αριθμό λήψεων. Πρέπει να σημειωθεί ότι το πρόβλημα RubyGems και καλύπτει άλλα δημοφιλή αποθετήρια. Για παράδειγμα, πέρυσι οι ίδιοι ερευνητές στο αποθετήριο NPM υπάρχει ένα κακόβουλο πακέτο που ονομάζεται bb-builder, το οποίο χρησιμοποιεί μια παρόμοια τεχνική εκκίνησης ενός εκτελέσιμου αρχείου για την κλοπή κωδικών πρόσβασης. Πριν από αυτό υπήρχε μια κερκόπορτα Ανάλογα με το πακέτο NPM ροής συμβάντων, ο κακόβουλος κώδικας λήφθηκε περίπου 8 εκατομμύρια φορές. Κακόβουλα πακέτα επίσης στο αποθετήριο PyPI.
Πηγή: opennet.ru