Société ReversingLabs résultats de l'analyse des applications dans le référentiel RubyGems. En règle générale, le typosquatting est utilisé pour distribuer des packages malveillants conçus pour amener un développeur inattentif à faire une faute de frappe ou à ne pas remarquer la différence lors de la recherche. L'étude a identifié plus de 700 packages portant des noms similaires à ceux des packages populaires, mais différant par des détails mineurs, tels que le remplacement de lettres similaires ou l'utilisation de traits de soulignement au lieu de tirets.
Des composants soupçonnés d'effectuer des activités malveillantes ont été trouvés dans plus de 400 packages. En particulier, le fichier à l’intérieur était aaa.png, qui comprenait du code exécutable au format PE. Ces packages étaient associés à deux comptes via lesquels RubyGems a été publié du 16 au 25 février 2020. , qui ont été téléchargés au total environ 95 XNUMX fois. Les chercheurs ont informé l'administration RubyGems et les packages malveillants identifiés ont déjà été supprimés du référentiel.
Parmi les packages problématiques identifiés, le plus populaire était « atlas-client », qui à première vue est pratiquement impossible à distinguer du package légitime «". Le package spécifié a été téléchargé 2100 6496 fois (le package normal a été téléchargé 25 100 fois, c'est-à-dire que les utilisateurs se sont trompés dans près de 150 % des cas). Les packages restants ont été téléchargés en moyenne XNUMX à XNUMX fois et ont été camouflés comme d'autres packages en utilisant une technique similaire de remplacement des traits de soulignement et des tirets (par exemple, parmi : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Les packages malveillants incluaient un fichier PNG contenant un fichier exécutable pour la plate-forme Windows au lieu d'une image. Le fichier a été généré à l'aide de l'utilitaire Ocra Ruby2Exe et comprenait une archive auto-extractible avec un script Ruby et un interpréteur Ruby. Lors de l'installation du package, le fichier png a été renommé en exe et lancé. Lors de l'exécution, un fichier VBScript a été créé et ajouté à l'exécution automatique. Le VBScript malveillant spécifié a analysé en boucle le contenu du presse-papiers pour détecter la présence d'informations rappelant les adresses de portefeuille crypté et, s'il est détecté, a remplacé le numéro de portefeuille en espérant que l'utilisateur ne remarquerait pas les différences et transférerait des fonds vers le mauvais portefeuille. .
L'étude a montré qu'il n'est pas difficile d'ajouter des packages malveillants à l'un des référentiels les plus populaires, et que ces packages peuvent rester indétectables, malgré un nombre important de téléchargements. Il convient de noter que le problème RubyGems et couvre d'autres référentiels populaires. Par exemple, l'année dernière, les mêmes chercheurs dans le référentiel NPM, il existe un package malveillant appelé bb-builder, qui utilise une technique similaire de lancement d'un fichier exécutable pour voler des mots de passe. Avant ça, il y avait une porte dérobée selon le package NPM du flux d'événements, le code malveillant a été téléchargé environ 8 millions de fois. Des colis malveillants également dans le référentiel PyPI.
Source: opennet.ru