Konpayi ReversingLabs rezilta analiz aplikasyon an nan depo RubyGems la. Tipikman, typosquatting yo itilize pou distribye pakè move ki fèt pou lakòz yon pwomotè ki pa atantif fè yon typo oswa pa remake diferans lan lè w ap chèche. Etid la te idantifye plis pase 700 pakè ak non ki sanble ak pakè popilè men diferan nan detay minè, tankou ranplase lèt ki sanble oswa itilize souliye olye pou yo tire.
Konpozan yo sispèk fè aktivite move yo te jwenn nan plis pase 400 pakè. An patikilye, fichye anndan an te aaa.png, ki enkli kòd ègzekutabl nan fòma PE. Pakè sa yo te asosye ak de kont kote RubyGems te afiche soti 16 fevriye rive 25 fevriye 2020. , ki an total yo te telechaje sou 95 mil fwa. Chèchè yo te enfòme administrasyon RubyGems ak pakè move idantifye yo te deja retire nan depo a.
Nan pakè pwoblèm yo idantifye, pi popilè a se te "atlas-kliyan", ki nan premye gade se pratikman endistenabl ak pake lejitim la ".". Pake espesifye a te telechaje 2100 fwa (pake nòmal la te telechaje 6496 fwa, sa vle di itilizatè yo te mal nan prèske 25% nan ka). Pake ki rete yo te telechaje an mwayèn 100-150 fwa epi yo te kamouflaj kòm lòt pakè lè l sèvi avèk yon teknik menm jan an pou ranplase souliye ak tirè (pa egzanp, pami : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Pake move yo enkli yon dosye PNG ki gen yon dosye ègzèkutabl pou platfòm Windows olye pou yo yon imaj. Fichye a te pwodwi lè l sèvi avèk sèvis piblik Ocra Ruby2Exe e li te gen ladann yon achiv pwòp tèt ou-extrait ak yon script Ruby ak entèprèt Ruby. Lè w ap enstale pakè a, yo te chanje non fichye png a an exe epi li te lanse. Pandan ekzekisyon, yo te kreye yon dosye VBScript epi ajoute nan otorun. Espesifye move VBScript nan yon bouk analize sa ki nan clipboard la pou prezans nan enfòmasyon ki okoumansman de adrès bous crypto, epi si yo detekte, ranplase nimewo a bous ak atann ke itilizatè a pa ta remake diferans ki genyen ak transfere lajan nan bous la mal. .
Etid la te montre ke li pa difisil pou jwenn pakè move ajoute nan youn nan depo ki pi popilè, epi pakè sa yo ka rete san detekte, malgre yon kantite siyifikatif nan telechajman. Li ta dwe remake ke pwoblèm nan RubyGems ak kouvri lòt depo popilè. Pou egzanp, ane pase a menm chèchè yo nan repozitwa NPM la gen yon pake move ki rele bb-builder, ki sèvi ak yon teknik menm jan an nan lanse yon dosye ègzèkutabl yo vòlè modpas. Anvan sa a te gen yon pòt dèyè Tou depan de pake NPM evènman-kouran an, kòd move a te telechaje apeprè 8 milyon fwa. Pakè move tou nan depo PyPI a.
Sous: opennet.ru