Kamfanin ReversingLabs sakamakon binciken aikace-aikace a cikin ma'ajiyar RubyGems. Yawanci, ana amfani da typosquatting don rarraba fakitin ɓarna da aka ƙera don haifar da rashin kula da mai haɓakawa don yin bugun rubutu ko rashin lura da bambanci yayin bincike. Binciken ya gano fakiti sama da 700 tare da sunaye masu kama da shahararrun fakiti amma sun bambanta a cikin ƙananan bayanai, kamar maye gurbin haruffa iri ɗaya ko amfani da maƙasudi maimakon dashes.
An gano abubuwan da ake zargi da aikata munanan ayyuka a cikin fakiti fiye da 400. Musamman, fayil ɗin da ke ciki shine aaa.png, wanda ya haɗa da lambar aiwatarwa a cikin tsarin PE. Waɗannan fakitin an haɗa su da asusu guda biyu waɗanda aka buga RubyGems ta hanyarsu daga Fabrairu 16 zuwa Fabrairu 25, 2020 , wanda a cikin duka an sauke kusan sau dubu 95. Masu binciken sun sanar da gwamnatin RubyGems kuma an riga an cire fakitin ƙeta daga ma'ajiyar.
Daga cikin fakitin matsalolin da aka gano, mafi mashahuri shine "atlas-abokin ciniki", wanda a kallon farko ba a iya bambanta shi da ingantaccen kunshin "". An zazzage fakitin da aka ƙayyade sau 2100 (an sauke fakiti na yau da kullun sau 6496, watau masu amfani sun yi kuskure a kusan kashi 25% na lokuta). Sauran fakitin an zazzage su akan matsakaita sau 100-150 kuma an kama su azaman sauran fakiti ta amfani da irin wannan dabarar na maye gurbin ƙararrawa da dashes (misali, tsakanin : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, dukiya-bututu, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-mai ladabi).
Вредоносные пакеты включали в себя PNG-файл, в котором вместо изображения размещался исполняемый файл для платформы Windows. Файл был сформирован при помощи утилиты Ocra Ruby2Exe и включал самораспаковывающийся архив с Ruby-скриптом и интерпретатором Ruby. При установке пакета файл png переименовывался в exe и запускался. В ходе выполнения создавался и добавлялся в автозапуск файл с VBScript. Указанный вредоносный VBScript в цикле анализировал содержимое буфера обмена на предмет наличия информации, напоминающей адреса криптокошельков, и в случае выявления подменял номер кошелька с расчётом на то, что пользователь не заметит отличий и переведёт средства не на тот кошелёк.
Binciken ya nuna cewa ba shi da wahala a sami ƙarin fakitin ɓarna zuwa ɗaya daga cikin wuraren da aka fi sani da su, kuma waɗannan fakitin na iya kasancewa ba a gano su ba, duk da yawan abubuwan da aka saukar da su. Ya kamata a lura cewa matsalar RubyGems kuma yana rufe sauran mashahuran wuraren ajiya. Misali, shekarar da ta gabata masu bincike iri daya A cikin ma'ajiyar NPM akwai wani mugun kunshin da ake kira bb-builder, wanda ke amfani da irin wannan dabarar ta kaddamar da fayil mai aiwatarwa don satar kalmomin shiga. Kafin nan akwai wata kofa ta baya dangane da kunshin NPM-rafi na taron, an zazzage lambar mugunta kusan sau miliyan 8. Fakitin ƙeta kuma a cikin ma'ajiyar PyPI.
source: budenet.ru
