ReversingLabs fyrirtæki niðurstöður umsóknargreiningar í RubyGems geymslunni. Venjulega er innsláttarvilla notað til að dreifa skaðlegum pökkum sem eru hannaðir til að valda athyglislausum forritara til að gera innsláttarvillu eða taka ekki eftir muninum þegar hann leitar. Rannsóknin benti á meira en 700 pakka með nöfnum sem líkjast vinsælum pakkningum en eru ólíkar í smáatriðum, svo sem að skipta út svipuðum bókstöfum eða nota undirstrik í stað strika.
Íhlutir sem grunaðir eru um að hafa framkvæmt illgjarna starfsemi fundust í meira en 400 pakkningum. Einkum var skráin inni í aaa.png, sem innihélt keyranlegan kóða á PE sniði. Þessir pakkar voru tengdir tveimur reikningum sem RubyGems var sett í gegnum frá 16. febrúar til 25. febrúar 2020 , sem alls voru sótt um 95 þúsund sinnum. Rannsakendur létu RubyGems stjórnina vita og auðkenndir skaðlegir pakkar hafa þegar verið fjarlægðir úr geymslunni.
Af vandræðapökkunum sem greint var frá var vinsælastur „atlas-viðskiptavinur“, sem við fyrstu sýn er nánast óaðgreinanlegur frá lögmætum pakka „". Tilgreindur pakki var sóttur 2100 sinnum (venjulegur pakki var sóttur 6496 sinnum, þ.e.a.s. notendur höfðu rangt fyrir sér í næstum 25% tilvika). Pakkarnir sem eftir voru voru sóttir að meðaltali 100-150 sinnum og voru dulbúnir eins og aðrir pakkar með svipaðri tækni til að skipta um undirstrik og strik (td. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Skaðlegustu pakkarnir innihéldu PNG skrá sem innihélt keyrsluskrá fyrir Windows pallinn í stað myndar. Skráin var búin til með Ocra Ruby2Exe tólinu og innihélt sjálfútdráttarskjalasafn með Ruby handriti og Ruby túlk. Þegar pakkinn var settur upp var png skráin endurnefnd í exe og ræst. Við framkvæmd var VBScript skrá búin til og bætt við sjálfvirkri keyrslu. Tilgreint illgjarnt VBScript í lykkju greindi innihald klemmuspjaldsins fyrir tilvist upplýsingar sem minna á vistföng dulmálsveskis, og ef það fannst, skipti veskisnúmerinu út með von um að notandinn myndi ekki taka eftir mismuninum og flytja fé í rangt veski. .
Rannsóknin sýndi að það er ekki erfitt að fá illgjarna pakka bætt við eina af vinsælustu geymslunum og þessir pakkar geta verið ógreindir, þrátt fyrir umtalsverðan fjölda niðurhala. Það skal tekið fram að vandamálið RubyGems og nær yfir aðrar vinsælar geymslur. Til dæmis í fyrra sömu rannsakendur í NPM geymslunni er illgjarn pakki sem heitir bb-builder, sem notar svipaða tækni til að ræsa keyrsluskrá til að stela lykilorðum. Fyrir þetta var bakdyr háð atburðarstraums NPM pakkanum, var illgjarn kóða hlaðið niður um 8 milljón sinnum. Skaðlegir pakkar líka í PyPI geymslunni.
Heimild: opennet.ru