ReversingLabs ընկերություն կիրառման վերլուծության արդյունքները RubyGems-ի պահոցում: Սովորաբար, typosquatting-ը օգտագործվում է վնասակար փաթեթներ տարածելու համար, որոնք նախատեսված են անուշադիր ծրագրավորողին տառասխալ անելու կամ փնտրելիս տարբերությունը չնկատելու համար: Հետազոտությունը հայտնաբերել է ավելի քան 700 փաթեթ, որոնց անունները նման են հանրաճանաչ փաթեթներին, բայց տարբերվում են փոքր մանրամասներով, օրինակ՝ փոխարինելով նմանատիպ տառերը կամ գծիկների փոխարեն ընդգծումներով:
Ավելի քան 400 փաթեթներում հայտնաբերվել են վնասակար գործողություններ կատարելու մեջ կասկածվող բաղադրիչներ։ Մասնավորապես, ներսում ֆայլը aaa.png էր, որը ներառում էր PE ֆորմատով գործարկվող կոդ։ Այս փաթեթները կապված էին երկու հաշիվների հետ, որոնց միջոցով RubyGems-ը տեղադրվել էր 16 թվականի փետրվարի 25-ից փետրվարի 2020-ը։ , որոնք ընդհանուր առմամբ ներբեռնվել են մոտ 95 հազար անգամ։ Հետազոտողները տեղեկացրել են RubyGems-ի վարչակազմին, և հայտնաբերված վնասակար փաթեթներն արդեն հեռացվել են պահոցից:
Հայտնաբերված խնդրահարույց փաթեթներից ամենահայտնին եղել է «ատլաս-հաճախորդը», որն առաջին հայացքից գործնականում չի տարբերվում օրինական փաթեթից»:«. Նշված փաթեթը ներբեռնվել է 2100 անգամ (նորմալ փաթեթը ներբեռնվել է 6496 անգամ, այսինքն՝ օգտատերերը սխալվել են դեպքերի գրեթե 25%-ում): Մնացած փաթեթները ներբեռնվել են միջինը 100-150 անգամ և քողարկվել որպես այլ փաթեթներ՝ օգտագործելով ընդգծված և գծիկները փոխարինելու նմանատիպ տեխնիկա (օրինակ՝ appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite):
Վնասակար փաթեթները ներառում էին PNG ֆայլ, որը պատկերի փոխարեն պարունակում էր գործարկվող ֆայլ Windows պլատֆորմի համար: Ֆայլը ստեղծվել է Ocra Ruby2Exe կոմունալ ծրագրի միջոցով և ներառում է ինքնաարտահանվող արխիվ՝ Ruby սցենարով և Ruby թարգմանիչով: Փաթեթը տեղադրելիս png ֆայլը վերանվանվեց exe և գործարկվեց: Կատարման ընթացքում ստեղծվեց VBScript ֆայլ և ավելացվեց autorun-ում: Նշված վնասակար VBScript-ը օղակում վերլուծել է clipboard-ի բովանդակությունը կրիպտո դրամապանակի հասցեները հիշեցնող տեղեկատվության առկայության համար, և հայտնաբերելու դեպքում փոխարինել դրամապանակի համարը՝ ակնկալելով, որ օգտատերը չի նկատի տարբերությունները և միջոցներ չի փոխանցի սխալ դրամապանակին: .
Ուսումնասիրությունը ցույց է տվել, որ դժվար չէ հասնել վնասակար փաթեթների ավելացմանը ամենահայտնի պահոցներից մեկում, և այդ փաթեթները կարող են չբացահայտվել՝ չնայած ներբեռնումների զգալի քանակին: Հարկ է նշել, որ խնդիրը RubyGems-ը և ծածկում է այլ հանրաճանաչ պահեստներ: Օրինակ՝ անցյալ տարի նույն հետազոտողները NPM պահոցում կա bb-builder կոչվող վնասակար փաթեթ, որն օգտագործում է գործարկվող ֆայլի գործարկման նմանատիպ տեխնիկա՝ գաղտնաբառերը գողանալու համար: Մինչ այս կար հետնադուռ Կախված իրադարձությունների հոսքի NPM փաթեթից, վնասակար կոդը ներբեռնվել է մոտ 8 միլիոն անգամ: Վնասակար փաթեթներ նույնպես PyPI պահոցում:
Source: opennet.ru