ReversingLabs Company alkalmazáselemzési eredmények a RubyGems adattárban. Jellemzően a typosquatting olyan rosszindulatú csomagok terjesztésére szolgál, amelyek célja, hogy a figyelmetlen fejlesztő elgépelési hibát kövessen el, vagy ne vegye észre a különbséget a keresés során. A tanulmány több mint 700 olyan csomagot azonosított, amelyek neve hasonló a népszerű csomagokhoz, de kisebb részletekben különböznek egymástól, például hasonló betűket helyettesítenek, vagy aláhúzást használnak kötőjelek helyett.
Több mint 400 csomagban találtak rosszindulatú tevékenységet folytató komponenseket. A benne lévő fájl az aaa.png volt, amely PE formátumú futtatható kódot tartalmazott. Ezek a csomagok két fiókhoz voltak társítva, amelyeken keresztül a RubyGems feladásra került 16. február 25. és február 2020. között , amelyeket összesen mintegy 95 ezer alkalommal töltöttek le. A kutatók tájékoztatták a RubyGems adminisztrációját, és az azonosított rosszindulatú csomagokat már eltávolították az adattárból.
Az azonosított problémás csomagok közül a legnépszerűbb az „atlas-client” volt, amely első ránézésre gyakorlatilag megkülönböztethetetlen a legitim „csomagtól”.". A megadott csomagot 2100 alkalommal töltötték le (a normál csomagot 6496 alkalommal töltötték le, vagyis a felhasználók az esetek közel 25%-ában tévedtek). A fennmaradó csomagokat átlagosan 100-150 alkalommal töltötték le, és hasonló technikával álcázták őket, mint más csomagokat, az aláhúzás és a kötőjelek helyettesítésére (például : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, resources-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
A rosszindulatú csomagok egy PNG-fájlt tartalmaztak, amely kép helyett futtatható fájlt tartalmazott a Windows platformhoz. A fájlt az Ocra Ruby2Exe segédprogrammal hozták létre, és egy önkicsomagoló archívumot tartalmazott Ruby szkripttel és Ruby interpreterrel. A csomag telepítésekor a png fájlt átnevezték exe-re és elindították. A végrehajtás során egy VBScript fájl jött létre, és hozzáadásra került az automatikus futtatáshoz. A megadott rosszindulatú VBScript ciklusban elemezte a vágólap tartalmát kriptotárca-címekre emlékeztető információk jelenlétére, és ha észlelte, lecserélte a pénztárca számát azzal a várakozással, hogy a felhasználó nem veszi észre a különbségeket, és nem a megfelelő pénztárcába utal át pénzt. .
A tanulmány kimutatta, hogy nem nehéz rosszindulatú csomagokat hozzáadni az egyik legnépszerűbb adattárhoz, és ezek a csomagok a jelentős számú letöltés ellenére is észrevétlenek maradhatnak. Meg kell jegyezni, hogy a probléma RubyGems és más népszerű adattárakat takar. Például tavaly ugyanazok a kutatók az NPM-tárban van egy bb-builder nevű rosszindulatú csomag, amely hasonló technikát használ, hogy elindítson egy futtatható fájlt jelszavak ellopására. Előtte volt egy hátsó ajtó az eseményfolyam NPM-csomagtól függően a rosszindulatú kódot körülbelül 8 millió alkalommal töltötték le. Rosszindulatú csomagok is a PyPI tárolóban.
Forrás: opennet.ru