Perusahaan ReversingLabs hasil analisis aplikasi di repositori RubyGems. Biasanya, kesalahan ketik digunakan untuk mendistribusikan paket berbahaya yang dirancang untuk menyebabkan pengembang yang lalai membuat kesalahan ketik atau tidak melihat perbedaannya saat mencari. Studi ini mengidentifikasi lebih dari 700 paket dengan nama yang mirip dengan paket populer namun berbeda dalam detail kecil, seperti mengganti huruf serupa atau menggunakan garis bawah sebagai pengganti tanda hubung.
Komponen yang diduga melakukan aktivitas jahat ditemukan di lebih dari 400 paket. Secara khusus, file di dalamnya adalah aaa.png, yang menyertakan kode yang dapat dieksekusi dalam format PE. Paket-paket ini dikaitkan dengan dua akun yang melaluinya RubyGems diposting dari 16 Februari hingga 25 Februari 2020 , yang totalnya diunduh sekitar 95 ribu kali. Para peneliti memberi tahu administrasi RubyGems dan paket berbahaya yang teridentifikasi telah dihapus dari repositori.
Dari paket bermasalah yang teridentifikasi, yang paling populer adalah βatlas-clientβ, yang sekilas praktis tidak dapat dibedakan dari paket yang sah β". Paket yang ditentukan diunduh 2100 kali (paket normal diunduh 6496 kali, artinya pengguna salah di hampir 25% kasus). Paket lainnya diunduh rata-rata 100-150 kali dan disamarkan sebagai paket lain menggunakan teknik serupa yaitu mengganti garis bawah dan garis (misalnya, di antara : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, aset-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Paket jahat tersebut menyertakan file PNG yang berisi file yang dapat dieksekusi untuk platform Windows, bukan gambar. File tersebut dibuat menggunakan utilitas Ocra Ruby2Exe dan menyertakan arsip self-extracting dengan skrip Ruby dan interpreter Ruby. Saat menginstal paket, file png diubah namanya menjadi exe dan diluncurkan. Selama eksekusi, file VBScript dibuat dan ditambahkan ke autorun. VBScript berbahaya yang ditentukan dalam satu lingkaran menganalisis konten clipboard untuk mengetahui adanya informasi yang mengingatkan pada alamat dompet kripto, dan jika terdeteksi, mengganti nomor dompet dengan harapan bahwa pengguna tidak akan melihat perbedaannya dan mentransfer dana ke dompet yang salah. .
Penelitian menunjukkan bahwa tidak sulit untuk menambahkan paket berbahaya ke salah satu repositori paling populer, dan paket ini mungkin tetap tidak terdeteksi, meskipun ada banyak unduhan. Perlu dicatat bahwa masalahnya RubyGems dan mencakup repositori populer lainnya. Misalnya tahun lalu peneliti yang sama di repositori NPM terdapat paket berbahaya bernama bb-builder, yang menggunakan teknik serupa dalam meluncurkan file yang dapat dieksekusi untuk mencuri kata sandi. Sebelumnya ada pintu belakang bergantung pada paket NPM aliran peristiwa, kode berbahaya telah diunduh sekitar 8 juta kali. Paket berbahaya juga di repositori PyPI.
Sumber: opennet.ru