Cuideachta ReversingLabs torthaí anailíse iarratais i stór RubyGems. Go hiondúil, úsáidtear typosquatting chun pacáistí mailíseacha a dháileadh atá deartha chun a chur faoi deara d’fhorbróir neamhaireach typo a dhéanamh nó gan an difríocht a thabhairt faoi deara agus é ag cuardach. Shainaithin an staidéar níos mó ná 700 pacáiste a raibh ainmneacha cosúil le pacáistí coitianta orthu ach a bhí éagsúil ó thaobh mionsonraí, mar shampla litreacha comhchosúla a chur in ionad nó úsáid a bhaint as foscóir in ionad daiseanna.
Fuarthas comhpháirteanna a raibh amhras fúthu go raibh siad ag déanamh gníomhaíochtaí mailíseacha i níos mó ná 400 pacáiste. Go háirithe, bhí an comhad taobh istigh aaa.png, a chuimsigh cód inrite i bhformáid PE. Bhain na pacáistí seo le dhá chuntas trínar postáladh RubyGems ó 16 Feabhra go 25 Feabhra, 2020 , a íoslódáladh thart ar 95 míle uair san iomlán. Chuir na taighdeoirí in iúl do riarachán RubyGems agus tá na pacáistí mailíseacha aitheanta bainte den stór cheana féin.
As na pacáistí fadhbacha a aithníodh, ba é an ceann ba mhó ráchairt ná “atlas-client”, nach féidir, ar an gcéad amharc, a aithint go praiticiúil ón bpacáiste dlisteanach ““. Íoslódáladh an pacáiste sonraithe 2100 uair (íoslódáladh an gnáthphacáiste 6496 uair, i.e. bhí úsáideoirí mícheart i mbeagnach 25% de na cásanna). Íoslódáladh na pacáistí a bhí fágtha 100-150 uair ar an meán agus rinneadh iad a chamúlú mar phacáistí eile agus úsáid á baint as teicníc chomhchosúil chun foscórí agus daiseanna a athsholáthar (mar shampla, i measc : appium-lib, gníomh-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, sócmhainní-píblíne, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-dea-bhéasach).
Áiríodh leis na pacáistí mailíseacha comhad PNG ina raibh comhad inrite d’ardán Windows in ionad íomhá. Gineadh an comhad trí úsáid a bhaint as fóntais Ocra Ruby2Exe agus chuimsigh sé cartlann féin-astarraingthe le script Ruby agus ateangaire Ruby. Nuair a bhí an pacáiste á shuiteáil, athainmníodh an comhad png go exe agus seoladh é. Le linn an fhorghníomhaithe, cruthaíodh comhad VBScript agus cuireadh le autorun é. Rinne an VBScript mailíseach sonraithe i lúb anailís ar ábhar an ghearrthaisce chun faisnéis a chur i gcuimhne do sheoltaí sparán cripte, agus má aimsítear é, chuir sé uimhir an sparán in ionad ag súil nach dtabharfadh an t-úsáideoir na difríochtaí faoi deara agus cistí a aistriú chuig an sparán mícheart. .
Léirigh an staidéar nach bhfuil sé deacair pacáistí mailíseacha a chur le ceann de na stórtha is mó a bhfuil tóir orthu, agus is féidir na pacáistí sin a bheith faoi deara, in ainneoin líon suntasach íoslódálacha. Ba chóir a thabhairt faoi deara go bhfuil an fhadhb RubyGems agus clúdaíonn sé stórtha tóir eile. Mar shampla, an bhliain seo caite na taighdeoirí céanna i stór NPM tá pacáiste mailíseach ar a dtugtar bb-builder, a úsáideann teicníc chomhchosúil chun comhad inrite a sheoladh chun pasfhocail a ghoid. Roimhe seo bhí backdoor ag brath ar an bpacáiste NPM sruth-imeachta, íoslódáladh an cód mailíseach thart ar 8 milliún uair. Pacáistí mailíseacha freisin i stór PyPI.
Foinse: oscailtenet.ru