Hui ReversingLabs nā hualoaʻa noiʻi noiʻi i loko o ka waihona RubyGems. ʻO ka maʻamau, hoʻohana ʻia ka typosquatting e puʻunaue i nā pūʻolo ʻino i hoʻolālā ʻia e hana i ka mea hoʻomohala ʻike ʻole e hana i kahi typo a i ʻole ʻike ʻole i ka ʻokoʻa ke ʻimi. Ua ʻike ʻia ka haʻawina ma mua o 700 mau pūʻolo me nā inoa like me nā pūʻolo kaulana akā ʻokoʻa i nā kikoʻī liʻiliʻi, e like me ka hoʻololi ʻana i nā leka like a i ʻole ka hoʻohana ʻana i nā kaha lalo ma kahi o nā kaha.
Loaʻa nā ʻāpana i manaʻo ʻia no ka hana ʻino i loko o nā pūʻolo 400 aʻe. ʻO ka ʻoiaʻiʻo, ʻo ka faila i loko ʻo aaa.png, i loaʻa ka code executable ma ka format PE. Ua pili kēia mau pūʻolo me nā moʻolelo ʻelua i hoʻopuka ʻia ai ʻo RubyGems mai Pepeluali 16 a Pepeluali 25, 2020 , ka mea i hoʻoiho ʻia ma kahi o 95 tausani mau manawa. Ua haʻi aku nā mea noiʻi i ka hoʻokele RubyGems a ua wehe ʻia nā pōʻai ʻino i ʻike ʻia mai ka waihona.
ʻO nā pōʻai pilikia i ʻike ʻia, ʻo ka mea kaulana loa ʻo "atlas-client", i ka nānā mua ʻana ʻaʻole hiki ke ʻike ʻia mai ka pūʻulu kūpono "". Ua hoʻoiho ʻia ka pūʻolo i ʻōlelo ʻia he 2100 mau manawa (ua hoʻoiho ʻia ka pōʻai maʻamau i nā manawa 6496, ʻo ia hoʻi, ua hewa nā mea hoʻohana ma kahi o 25% o nā hihia). Ua hoʻoiho ʻia nā pūʻolo i koe ma ka awelika 100-150 mau manawa a ua hoʻopili ʻia e like me nā pūʻolo ʻē aʻe me ka hoʻohana ʻana i kahi ʻano like o ka hoʻololi ʻana i nā kaha lalo a me nā kaha (e laʻa, ma waena o : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Ua hoʻokomo ʻia nā pūʻolo ʻino i kahi faila PNG i loaʻa kahi faila hiki ke hoʻokō ʻia no ka paepae Windows ma kahi o kahi kiʻi. Ua hoʻokumu ʻia ka faila me ka hoʻohana ʻana i ka pono Ocra Ruby2Exe a ua hoʻokomo ʻia kahi waihona hoʻoili pilikino me kahi palapala Ruby a me ka unuhi ʻōlelo Ruby. I ka hoʻokomo ʻana i ka pūʻolo, ua kapa hou ʻia ka faila png i exe a hoʻomaka. I ka wā o ka hoʻokō ʻana, ua hana ʻia kahi faila VBScript a hoʻohui ʻia i autorun. ʻO ka VBScript maikaʻi ʻole i ʻōlelo ʻia i loko o kahi loop i kālailai i nā ʻike o ka clipboard no ka loaʻa ʻana o ka ʻike e hoʻomanaʻo ana i nā helu ʻeke kālā crypto, a inā ʻike ʻia, hoʻololi i ka helu ʻeke me ka manaʻolana ʻaʻole e ʻike ka mea hoʻohana i nā ʻokoʻa a hoʻoili kālā i ka ʻeke kālā hewa. .
Ua hōʻike ʻia ka haʻawina ʻaʻole paʻakikī ke hoʻokō i ka hoʻohui ʻana i nā pōʻai ʻino i kekahi o nā waihona kaulana loa, a hiki ke ʻike ʻole ʻia kēia mau pūʻolo, ʻoiai ka nui o nā hoʻoiho. Pono e hoʻomaopopo i ka pilikia ʻO RubyGems a uhi i nā waihona waihona kaulana ʻē aʻe. No ka laʻana, i ka makahiki i hala nā mea noiʻi like i loko o ka waihona NPM aia kahi pōʻai ʻino i kapa ʻia ʻo bb-builder, e hoʻohana ana i kahi ʻano hana like o ka hoʻokuʻu ʻana i kahi faila hiki ke ʻaihue i nā ʻōlelo huna. Ma mua o kēia he puka kua ma muli o ka hanana-stream NPM package, ua hoʻoiho ʻia ka code malicious ma kahi o 8 miliona mau manawa. ʻO nā pūʻolo hewa pū kekahi ma ka waihona PyPI.
Source: opennet.ru