ReversingLabs Company sovellusanalyysin tulokset RubyGems-arkistossa. Typosquatting-toimintoa käytetään tyypillisesti haitallisten pakettien levittämiseen, jotta huomaamaton kehittäjä tekee kirjoitusvirheen tai ei huomaa eroa etsiessään. Tutkimuksessa tunnistettiin yli 700 pakettia, joiden nimet ovat samankaltaisia kuin suosittuja paketteja, mutta eroavat toisistaan pienten yksityiskohtien osalta, kuten samankaltaisten kirjainten korvaaminen tai alaviivojen käyttäminen väliviivojen sijaan.
Yli 400 paketista löytyi komponentteja, joiden epäillään suorittavan haitallisia toimia. Erityisesti sisällä oleva tiedosto oli aaa.png, joka sisälsi suoritettavan koodin PE-muodossa. Nämä paketit yhdistettiin kahteen tiliin, joiden kautta RubyGems lähetettiin 16. helmikuuta - 25. helmikuuta 2020 , joita ladattiin yhteensä noin 95 tuhatta kertaa. Tutkijat ilmoittivat RubyGems-hallinnolle, ja tunnistetut haitalliset paketit on jo poistettu arkistosta.
Ongelmallisista paketeista suosituin oli "atlas-client", joka ensi silmäyksellä on käytännössä mahdoton erottaa laillisesta paketista "". Määritetty paketti ladattiin 2100 kertaa (tavallinen paketti 6496 kertaa, eli käyttäjät olivat väärässä lähes 25 %:ssa tapauksista). Loput paketit ladattiin keskimäärin 100-150 kertaa ja ne naamioitiin muiden pakettien tapaan käyttämällä samanlaista alaviivojen ja väliviivojen korvaustekniikkaa (esim. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, resources-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Haitalliset paketit sisälsivät PNG-tiedoston, joka sisälsi Windows-alustalle suoritettavan tiedoston kuvan sijaan. Tiedosto luotiin Ocra Ruby2Exe -apuohjelmalla, ja se sisälsi itsepurkautuvan arkiston, jossa oli Ruby-skripti ja Ruby-tulkki. Pakettia asennettaessa png-tiedosto nimettiin uudelleen muotoon exe ja käynnistettiin. Suorituksen aikana VBScript-tiedosto luotiin ja lisättiin automaattiseen käynnistykseen. Määritetty haitallinen VBScript silmukassa analysoi leikepöydän sisällön kryptolompakko-osoitteita muistuttavan tiedon varalta, ja havaittuessaan korvasi lompakon numeron sillä odotuksella, että käyttäjä ei huomaa eroja ja siirtää varoja väärään lompakkoon. .
Tutkimus osoitti, että haitallisten pakettien lisääminen yhteen suosituimmista arkistoista ei ole vaikeaa, ja nämä paketit voivat jäädä huomaamatta huomattavasta latausmäärästä huolimatta. On huomattava, että ongelma RubyGems ja kattaa muut suositut tietovarastot. Esimerkiksi viime vuonna samat tutkijat NPM-arkistossa on haitallinen paketti nimeltä bb-builder, joka käyttää samanlaista tekniikkaa käynnistääkseen suoritettavan tiedoston salasanojen varastamiseksi. Ennen tätä oli takaovi Tapahtumavirran NPM-paketista riippuen haittakoodi ladattiin noin 8 miljoonaa kertaa. Myös haitalliset paketit PyPI-arkistossa.
Lähde: opennet.ru