Konpayi ReversingLabs rezilta analiz aplikasyon an nan depo RubyGems la. Tipikman, typosquatting yo itilize pou distribye pakè move ki fèt pou lakòz yon pwomotè ki pa atantif fè yon typo oswa pa remake diferans lan lè w ap chèche. Etid la te idantifye plis pase 700 pakè ak non ki sanble ak pakè popilè men diferan nan detay minè, tankou ranplase lèt ki sanble oswa itilize souliye olye pou yo tire.
Konpozan yo sispèk fè aktivite move yo te jwenn nan plis pase 400 pakè. An patikilye, fichye anndan an te aaa.png, ki enkli kòd ègzekutabl nan fòma PE. Pakè sa yo te asosye ak de kont kote RubyGems te afiche soti 16 fevriye rive 25 fevriye 2020. , ki an total yo te telechaje sou 95 mil fwa. Chèchè yo te enfòme administrasyon RubyGems ak pakè move idantifye yo te deja retire nan depo a.
Nan pakè pwoblèm yo idantifye, pi popilè a se te "atlas-kliyan", ki nan premye gade se pratikman endistenabl ak pake lejitim la ".". Pake espesifye a te telechaje 2100 fwa (pake nòmal la te telechaje 6496 fwa, sa vle di itilizatè yo te mal nan prèske 25% nan ka). Pake ki rete yo te telechaje an mwayèn 100-150 fwa epi yo te kamouflaj kòm lòt pakè lè l sèvi avèk yon teknik menm jan an pou ranplase souliye ak tirè (pa egzanp, pami : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Pakè move yo te gen ladan yo yon fichye PNG ki, olye de yon imaj, te gen yon fichye ègzèkutabl pou platfòm nan. WindowsYo te pwodui fichye a avèk zouti Ocra Ruby2Exe la epi li te gen ladan l yon achiv oto-ekstrè avèk yon script Ruby ak yon entèprèt Ruby. Lè yo te enstale pake a, yo te chanje non fichye png a pou l vin .exe epi yo te lanse l. Pandan ekzekisyon an, yo te kreye yon fichye VBScript epi yo te ajoute l nan demaraj la. VBScript move sa a te pase nan clipboard la pou jwenn enfòmasyon ki sanble ak adrès bous kriptografik. Si yo te detekte nenpòt, li te ranplase nimewo bous la ak nimewo bous la, nan espwa ke itilizatè a ta inyore diferans lan epi transfere lajan nan move bous la.
Etid la te montre ke li pa difisil pou jwenn pakè move ajoute nan youn nan depo ki pi popilè, epi pakè sa yo ka rete san detekte, malgre yon kantite siyifikatif nan telechajman. Li ta dwe remake ke pwoblèm nan RubyGems ak kouvri lòt depo popilè. Pou egzanp, ane pase a menm chèchè yo nan repozitwa NPM la gen yon pake move ki rele bb-builder, ki sèvi ak yon teknik menm jan an nan lanse yon dosye ègzèkutabl yo vòlè modpas. Anvan sa a te gen yon pòt dèyè Tou depan de pake NPM evènman-kouran an, kòd move a te telechaje apeprè 8 milyon fwa. Pakè move tou nan depo PyPI a.
Sous: opennet.ru
