Tvrtka ReversingLabs rezultati analize primjene u repozitoriju RubyGems. Tipično se tipsko prikrivanje koristi za distribuciju zlonamjernih paketa koji su sračunati na to da nepažljivi programer izazove grešku pri upisu ili da ne primijeti razliku prilikom pretraživanja. Studija je identificirala više od 700 paketa čija su imena slična popularnim paketima i razlikuju se u manjim detaljima, poput zamjene sličnih slova ili korištenja podvlaka umjesto crtica.
U više od 400 paketa pronađene su komponente za koje se sumnja da vrše zlonamjerne aktivnosti. Konkretno, unutra je bila datoteka aaa.png, koja je uključivala izvršni kod u PE formatu. Ovi paketi bili su povezani s dva računa putem kojih je od 16. do 25. veljače 2020. hostiran RubyGems , koje su ukupno preuzete oko 95 tisuća puta. Istraživači su obavijestili administraciju RubyGemsa i identificirani zlonamjerni paketi već su uklonjeni iz repozitorija.
Od identificiranih problematičnih paketa najpopularniji je bio "atlas-client", koji se na prvi pogled gotovo ne razlikuje od legitimnog paketa "". Navedeni paket preuzet je 2100 puta (normalni paket preuzet je 6496 puta, tj. korisnici su pogriješili u gotovo 25% slučajeva). Preostali paketi su u prosjeku preuzeti 100-150 puta i zakamuflirani kao drugi paketi koristeći slične tehnike zamjene podvlaka i crtica (na primjer, među : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Zlonamjerni paketi uključivali su PNG datoteku koja je sadržavala izvršnu datoteku za Windows platformu umjesto slike. Datoteka je generirana pomoću uslužnog programa Ocra Ruby2Exe i uključivala je samoraspakirajuću arhivu s Ruby skriptom i Ruby tumačem. Prilikom instaliranja paketa, png datoteka je preimenovana u exe i pokrenuta. Tijekom izvođenja stvorena je datoteka s VBScriptom i dodana u automatsko pokretanje. Navedeni zlonamjerni VBScript u petlji je analizirao sadržaj međuspremnika tražeći informacije koje podsjećaju na adrese kripto novčanika, te je, ako je otkriven, zamijenio broj novčanika s očekivanjem da korisnik neće primijetiti razlike i prebaciti sredstva na krivi novčanik.
Provedeno istraživanje je pokazalo da nije teško postići dodavanje malicioznih paketa u jedan od najpopularnijih repozitorija i ti paketi mogu proći nezapaženo, unatoč značajnom broju preuzimanja. Treba napomenuti da problem RubyGems i dotiče se drugih popularnih repozitorija. Na primjer, prošle godine isti istraživači u NPM repozitoriju, zlonamjerni bb-builder paket koji koristi sličnu tehniku za pokretanje izvršne datoteke za krađu lozinki. Prije toga, backdoor je bio ovisno o NPM paketu event-stream i zloćudni kod je preuzet oko 8 milijuna puta. Zlonamjerni paketi također u PyPI repozitoriju.
Izvor: opennet.ru