Companaidh ReversingLabs toraidhean mion-sgrùdadh tagraidh ann an stòr RubyGems. Mar as trice, bithear a’ cleachdadh typosquatting gus pacaidean droch-rùnach a sgaoileadh a tha air an dealbhadh gus toirt air leasaiche neo-mhothachail typo a dhèanamh no gun a bhith mothachail air an eadar-dhealachadh nuair a bhios e a’ sgrùdadh. Chomharraich an sgrùdadh barrachd air pasganan 700 le ainmean coltach ri pasganan mòr-chòrdte ach eadar-dhealaichte ann am mion-fhiosrachadh, leithid a bhith a’ cur an àite litrichean co-chosmhail no a’ cleachdadh fo-sgrìobhaidhean an àite sgrìoban.
Chaidh co-phàirtean a bha fo amharas gun do rinn iad gnìomhan droch-rùnach a lorg ann an còrr air 400 pasgan. Gu sònraichte, bha am faidhle a-staigh aaa.png, a bha a’ toirt a-steach còd so-ghnìomhaichte ann an cruth PE. Bha na pasganan sin co-cheangailte ri dà chunntas tro an deach RubyGems a phostadh bho 16 Gearran gu 25 Gearran, 2020 , a chaidh a luchdachadh sìos gu h-iomlan mu 95 mìle uair. Chuir an luchd-rannsachaidh fios gu rianachd RubyGems agus chaidh na pasganan droch-rùnach a chaidh a chomharrachadh a thoirt a-mach às an stòr mu thràth.
De na pasganan trioblaideach a chaidh an comharrachadh, b’ e am fear as mòr-chòrdte “atlas-client”, a tha gu ìre mhòr eadar-dhealaichte bhon phasgan dligheach “". Chaidh am pasgan ainmichte a luchdachadh sìos 2100 uair (chaidh am pasgan àbhaisteach a luchdachadh sìos 6496 tursan, ie bha luchd-cleachdaidh ceàrr ann am faisg air 25% de chùisean). Chaidh na pacaidean a bha air fhàgail a luchdachadh sìos gu cuibheasach 100-150 uair agus chaidh an luadhadh mar phasganan eile a’ cleachdadh dòigh coltach ri bhith a’ cur an àite fo-fhilleadh agus sgrìoban (mar eisimpleir, am measg : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, so-mhaoin-pìoba, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-modhail).
Anns na pacaidean droch-rùnach bha faidhle PNG anns an robh faidhle so-ghnìomhaichte airson àrd-ùrlar Windows an àite ìomhaigh. Chaidh am faidhle a chruthachadh a’ cleachdadh goireas Ocra Ruby2Exe agus bha e a’ toirt a-steach tasglann fèin-tharraing le sgriobt Ruby agus eadar-theangair Ruby. Nuair a chaidh am pasgan a stàladh, chaidh am faidhle png ath-ainmeachadh gu exe agus a chuir air bhog. Nuair a chaidh a chur gu bàs, chaidh faidhle VBScript a chruthachadh agus a chur ri autorun. Rinn an VBScript droch-rùnach ainmichte ann an lùb mion-sgrùdadh air susbaint a’ bhòrd bhidio airson làthaireachd fiosrachaidh a tha coltach ri seòlaidhean wallet crypto, agus ma lorgar e, chuir e an àite àireamh an wallet leis an dùil nach mothaicheadh an neach-cleachdaidh na h-eadar-dhealachaidhean agus nach biodh iad a’ gluasad airgead chun wallet ceàrr. .
Sheall an sgrùdadh nach eil e duilich pacaidean droch-rùnach a chuir ri aon de na stòran as mòr-chòrdte, agus faodaidh na pacaidean sin fuireach gun aithneachadh, a dh’ aindeoin àireamh mhòr de luchdachadh sìos. Bu chòir a thoirt fa-near gu bheil an duilgheadas RubyGems agus a’ còmhdach stòran mòr-chòrdte eile. Mar eisimpleir, an-uiridh na h-aon luchd-rannsachaidh ann an stòr NPM tha pasgan droch-rùnach ris an canar bb-builder, a bhios a’ cleachdadh dòigh coltach ri bhith a’ cur air bhog faidhle so-ghnìomhaichte gus faclan-faire a ghoid. Roimhe seo bha doras cùil ann a rèir pasgan NPM sruth-tachartas, chaidh an còd droch-rùnach a luchdachadh sìos timcheall air 8 millean uair. Pasganan droch-rùnach cuideachd ann an stòr PyPI.
Source: fosgailtenet.ru