RubyGemsis tuvastati 724 pahatahtlikku paketti

Ettevõte ReversingLabs опубликовала rakenduste analüüsi tulemused tüüpikvottimine RubyGemsi hoidlas. Tavaliselt kasutatakse typosquattimist pahatahtlike pakettide levitamiseks, mille eesmärk on panna tähelepanematu arendaja tegema kirjavigu või ei märka otsimisel erinevust. Uuring tuvastas enam kui 700 paketti, mille nimed sarnanevad populaarsetele pakettidele, kuid erinevad väiksemate detailide poolest, nagu näiteks sarnaste tähtede asendamine või kriipsude asemel alakriipsude kasutamine.

Rohkem kui 400 pakist leiti komponente, mida kahtlustatakse pahatahtliku tegevuse sooritamises. Eelkõige oli sees olev fail aaa.png, mis sisaldas PE-vormingus käivitatavat koodi. Need paketid olid seotud kahe kontoga, mille kaudu RubyGemsi postitati 16. veebruarist 25. veebruarini 2020 724 pahatahtlikku paketti, mida alla laaditi kokku umbes 95 tuhat korda. Teadlased teavitasid RubyGemsi administratsiooni ja tuvastatud pahatahtlikud paketid on hoidlast juba eemaldatud.

Tuvastatud probleemsetest pakettidest oli populaarseim “atlas-klient”, mis esmapilgul praktiliselt ei erine seaduslikust paketist “atlas_klient". Määratud paketti laaditi alla 2100 korda (tavalist paketti laaditi alla 6496 korda, st kasutajad eksisid ligi 25% juhtudest). Ülejäänud pakette laaditi alla keskmiselt 100–150 korda ja maskeeriti nagu teised paketid, kasutades sarnast tehnikat, asendades allkriipsud ja sidekriipsud (näiteks pahatahtlikud paketid: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, varade-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-viisakas).

Pahatahtlikud paketid sisaldasid PNG-faili, mis sisaldas pildi asemel platvormi käivitatavat faili. WindowsFail genereeriti Ocra Ruby2Exe utiliidi abil ja sisaldas iseavanevat arhiivi Ruby skripti ja Ruby interpretaatoriga. Paketi installimisel nimetati png-fail ümber .exe-failiks ja käivitati. Käivitamise ajal loodi VBScript-fail ja lisati see käivitusaknasse. See pahatahtlik VBScript-fail otsis lõikelaualt krüptorahakottide aadressidele sarnast teavet. Kui neid tuvastati, asendas see rahakoti numbri, lootes, et kasutaja jätab erinevuse kahe silma vahele ja kannab raha valesse rahakotti.

Uuring näitas, et pahatahtlike pakettide lisamine ühte populaarsemasse hoidlasse pole keeruline ning need paketid võivad vaatamata märkimisväärsele hulgale allalaadimistele jääda avastamata. Tuleb märkida, et probleem ei spetsiifiline eest RubyGems ja hõlmab teisi populaarseid hoidlaid. Näiteks eelmisel aastal samad teadlased tuvastatud NPM-i hoidlas on pahatahtlik pakett nimega bb-builder, mis kasutab paroolide varastamiseks käivitatava faili käivitamiseks sarnast tehnikat. Enne seda oli tagauks leitud olenevalt sündmustevoo NPM-paketist laaditi pahatahtlikku koodi alla umbes 8 miljonit korda. Ka pahatahtlikud paketid perioodiliselt hüppab üles PyPI hoidlas.

Allikas: opennet.ru

Ostke DDoS-kaitsega saitide jaoks usaldusväärne hostimine, VPS VDS-serverid 🔥 Osta usaldusväärne veebimajutus DDoS-kaitsega, VPS VDS serverid | ProHoster