ReversingLabs konpainia aplikazioaren analisiaren emaitzak RubyGems biltegian. Normalean, typequatting erabiltzen da kontuz ez dagoen garatzaile batek akatsak idazteko edo bilatzean aldea nabaritzen ez duen pakete gaiztoak banatzeko. Azterketak 700 pakete baino gehiago identifikatu ditu, zeinen izenak pakete ezagunen antzekoak diren eta xehetasun txikietan desberdinak diren, hala nola, antzeko letrak ordezkatzea edo azpimarra erabiliz marratxoen ordez.
400 pakete baino gehiagotan, jarduera gaiztoak egiten dituztela susmatzen zuten osagaiak aurkitu ziren. Bereziki, barruan aaa.png fitxategia zegoen, kode exekutagarria PE formatuan barne. Pakete hauek bi konturekin lotuta zeuden, zeinen bidez, 16ko otsailaren 25tik 2020era, RubyGems ostatatuta egon zen , guztira 95 mila aldiz deskargatu zirenak. Ikertzaileek RubyGems administrazioari jakinarazi diote eta identifikatutako pakete gaiztoak biltegitik kendu dituzte dagoeneko.
Identifikatutako pakete problematikoen artean, ezagunena "atlas-client" izan zen, lehen begiratuan ia ezin da legezko paketetik bereizten "". Zehaztutako paketea 2100 aldiz deskargatu zen (pakete normala 6496 aldiz deskargatu zen, hau da, erabiltzaileak oker zeuden kasuen ia % 25ean). Gainerako paketeak batez beste 100-150 aldiz deskargatu ziren eta beste pakete batzuk bezala kamuflatu ziren azpimarra eta marratxoen ordezko teknikak erabiliz (adibidez, besteak beste. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Pakete gaiztoek PNG fitxategi bat zuten, irudi baten ordez Windows plataformarako fitxategi exekutagarri bat zeukan. Fitxategia Ocra Ruby2Exe erabilgarritasuna erabiliz sortu zen eta Ruby script batekin eta Ruby interprete batekin auto-erauzten den artxibo bat sartu zen. Paketea instalatzean, png fitxategiari exe izena jarri zitzaion eta abiarazi zen. Exekuzioan, VBScript-ekin fitxategi bat sortu eta exekuzio automatikoan gehitu zen. Zehaztutako VBScript gaiztoak begizta batean arbeleko edukia aztertu zuen kripto-zorroen helbideen antza duten informazioa lortzeko, eta detektatuz gero, zorroaren zenbakia ordezkatu zuen erabiltzaileak desberdintasunak nabarituko ez zituela eta okerreko zorrora funtsak transferituko zituelakoan.
Egindako ikerketak erakutsi du ez dela zaila pakete gaiztoak biltegi ezagunenetako batean gehitzea eta pakete hauek oharkabean pasa daitezkeela, deskarga kopuru handia izan arren. Kontuan izan behar da arazoa RubyGems eta beste biltegi ezagun batzuk ukitzen ditu. Esaterako, iaz ikerlari berak NPM biltegian, pasahitzak lapurtzeko exekutagarri bat abiarazteko antzeko teknika erabiltzen duen bb-builder pakete maltzur bat. Horren aurretik, atzeko atea zegoen NPM paketearen gertaera-korrontearen arabera eta kode gaiztoa 8 milioi aldiz deskargatu zen. Pakete gaiztoak ere PyPI biltegian.
Iturria: opennet.ru