It bedriuw ReversingLabs Company applikaasje analyze resultaten yn it RubyGems repository. Typysk wurdt typosquatting brûkt om kweade pakketten te fersprieden ûntworpen om in ûnopmerklike ûntwikkelder in typflater te meitsjen of it ferskil net te merken by it sykjen. De stúdzje identifisearre mear as 700 pakketten mei nammen dy't lykje op populêre pakketten, mar ferskille yn lytse details, lykas it ferfangen fan ferlykbere letters of it brûken fan underscores ynstee fan streepkes.
Underdielen dy't fertocht wurde fan it útfieren fan kweade aktiviteiten waarden fûn yn mear as 400 pakketten. Benammen it bestân binnen wie aaa.png, dy't útfierbere koade yn PE-formaat omfette. Dizze pakketten wiene ferbûn mei twa akkounts wêrmei RubyGems waard pleatst fan 16 febrewaris oant 25 febrewaris 2020 , dy't yn totaal sawat 95 tûzen kear ynladen waarden. De ûndersikers ynformeare de RubyGems-administraasje en de identifisearre kweade pakketten binne al fuortsmiten fan it repository.
Fan 'e identifisearre problematyske pakketten wie de populêrste "atlas-client", dy't op it earste each praktysk net te ûnderskieden is fan it legitime pakket "". It opjûne pakket waard ynladen 2100 kear (it normale pakket waard ynladen 6496 kear, d.w.s. brûkers wiene ferkeard yn hast 25% fan de gefallen). De oerbleaune pakketten waarden yn trochsneed 100-150 kear ynladen en waarden kamouflearre as oare pakketten mei in ferlykbere technyk fan it ferfangen fan ûnderstreken en streepkes (bygelyks ûnder : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replikaasje-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
De kweade pakketten omfette in PNG-bestân dat in útfierber bestân befette foar it Windows-platfoarm ynstee fan in ôfbylding. It bestân waard oanmakke mei it Ocra Ruby2Exe-hulpprogramma en omfette in sels-útpakke argyf mei in Ruby-skript en Ruby-tolk. By it ynstallearjen fan it pakket waard it png-bestân omneamd ta exe en lansearre. Tidens de útfiering waard in VBScript-bestân makke en tafoege oan autorun. De opjûne kweade VBScript yn in lus analysearre de ynhâld fan it klamboerd foar de oanwêzigens fan ynformaasje dy't tinkt oan krypto-slúfadressen, en as ûntdutsen, ferfong it walletnûmer mei de ferwachting dat de brûker de ferskillen net fernimme soe en fûnsen oermeitsje nei de ferkearde wallet .
De stúdzje liet sjen dat it net dreech is om de tafoeging fan kweade pakketten oan ien fan 'e populêrste repositories te berikken, en dizze pakketten kinne net ûntdutsen bliuwe, nettsjinsteande in signifikant oantal downloads. Dêrby moat opmurken wurde dat it probleem RubyGems en beslacht oare populêre repositories. Bygelyks ferline jier deselde ûndersikers yn it NPM-repository is d'r in kwea-aardich pakket mei de namme bb-builder, dy't in ferlykbere technyk brûkt om in útfierber bestân te starten om wachtwurden te stellen. Dêrfoar wie der in efterdoar ôfhinklik fan it event-stream NPM-pakket, waard de kweade koade sawat 8 miljoen kear ynladen. Kweaze pakketten ek yn it PyPI-repository.
Boarne: opennet.ru