Empresa ReversingLabs resultados da análise da aplicación no repositorio de RubyGems. Normalmente, typosquatting utilízase para distribuír paquetes maliciosos deseñados para provocar que un programador desatento cometa un erro ou non note a diferenza ao buscar. O estudo identificou máis de 700 paquetes con nomes similares aos paquetes populares pero que difiren en detalles menores, como substituír letras similares ou usar guións baixos en lugar de guións.
Atopáronse compoñentes sospeitosos de realizar actividades maliciosas en máis de 400 paquetes. En particular, o ficheiro dentro era aaa.png, que incluía código executable en formato PE. Estes paquetes estaban asociados a dúas contas a través das cales se publicou RubyGems do 16 ao 25 de febreiro de 2020 , que en total foron descargadas unhas 95 mil veces. Os investigadores informaron á administración de RubyGems e os paquetes maliciosos identificados xa foron eliminados do repositorio.
Dos paquetes problemáticos identificados, o máis popular foi "atlas-client", que a primeira vista é practicamente indistinguible do paquete lexítimo "". O paquete especificado descargouse 2100 veces (o paquete normal descargouse 6496 veces, é dicir, os usuarios equivocáronse en case o 25% dos casos). Os paquetes restantes descargáronse unha media de 100 a 150 veces e camufláronse como outros paquetes mediante unha técnica similar de substitución de guións baixos e guións (por exemplo, entre : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Os paquetes maliciosos incluían un ficheiro PNG que contiña un ficheiro executable para a plataforma Windows en lugar dunha imaxe. O ficheiro xerou a utilidade Ocra Ruby2Exe e incluíu un arquivo autoextraíble cun script Ruby e un intérprete Ruby. Ao instalar o paquete, o ficheiro png cambiou o nome a exe e lanzouse. Durante a execución, creouse un ficheiro VBScript e engadiuse á execución automática. O VBScript malicioso especificado nun bucle analizou o contido do portapapeis para detectar a presenza de información que lembraba os enderezos de carteira criptográfica e, se se detectaba, substituíu o número de carteira coa expectativa de que o usuario non notase as diferenzas e transferiría fondos á carteira incorrecta. .
O estudo demostrou que non é difícil conseguir a adición de paquetes maliciosos a un dos repositorios máis populares, e estes paquetes poden permanecer sen ser detectados, a pesar dun número importante de descargas. Hai que ter en conta que o problema RubyGems e cobre outros repositorios populares. Por exemplo, o ano pasado os mesmos investigadores no repositorio de NPM hai un paquete malicioso chamado bb-builder, que utiliza unha técnica similar de lanzar un ficheiro executable para roubar contrasinais. Antes disto había unha porta traseira dependendo do paquete NPM de fluxo de eventos, o código malicioso descargouse uns 8 millóns de veces. Tamén paquetes maliciosos no repositorio de PyPI.
Fonte: opennet.ru