Società ReversingLabs risultati dell'analisi dell'applicazione nel repository RubyGems. In genere, il typequatting viene utilizzato per distribuire pacchetti dannosi calcolati per indurre uno sviluppatore disattento a commettere un errore di battitura o a non notare la differenza durante la ricerca. Lo studio ha identificato più di 700 pacchetti i cui nomi sono simili a pacchetti popolari e differiscono in dettagli minori, come la sostituzione di lettere simili o l'utilizzo di caratteri di sottolineatura al posto dei trattini.
In più di 400 pacchetti sono stati trovati componenti sospettati di commettere attività dannose. In particolare, al suo interno si trovava il file aaa.png, che conteneva il codice eseguibile in formato PE. A questi pacchetti erano associati due account attraverso i quali, dal 16 al 25 febbraio 2020, è stata ospitata RubyGems , che in totale sono stati scaricati circa 95mila volte. I ricercatori hanno informato l'amministrazione RubyGems e i pacchetti dannosi identificati sono già stati rimossi dal repository.
Tra i pacchetti problematici identificati, il più popolare è stato "atlas-client", che a prima vista è quasi indistinguibile dal pacchetto legittimo "". Il pacchetto indicato è stato scaricato 2100 volte (il pacchetto normale è stato scaricato 6496 volte, ovvero gli utenti si sbagliavano in quasi il 25% dei casi). I pacchetti rimanenti sono stati scaricati in media 100-150 volte e camuffati come altri pacchetti utilizzando tecniche simili di sostituzione di caratteri di sottolineatura e trattini (ad esempio, tra : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
I pacchetti dannosi includevano un file PNG che conteneva un file eseguibile per la piattaforma Windows invece di un'immagine. Il file è stato generato utilizzando l'utilità Ocra Ruby2Exe e includeva un archivio autoestraente con uno script Ruby e un interprete Ruby. Durante l'installazione del pacchetto, il file png è stato rinominato in exe e avviato. Durante l'esecuzione è stato creato un file con VBScript e aggiunto all'esecuzione automatica. Il VBScript dannoso specificato in un ciclo analizzava il contenuto degli appunti alla ricerca di informazioni simili a indirizzi di portafogli crittografici e, se rilevato, sostituiva il numero del portafoglio con l'aspettativa che l'utente non notasse le differenze e trasferisse i fondi al portafoglio sbagliato.
La ricerca condotta ha dimostrato che non è difficile ottenere l'aggiunta di pacchetti dannosi in uno dei repository più popolari e che questi pacchetti possono passare inosservati, nonostante un numero significativo di download. Va notato che il problema RubyGems e tocca altri repository popolari. Ad esempio, l'anno scorso gli stessi ricercatori nel repository NPM, un pacchetto bb-builder dannoso che utilizza una tecnica simile per avviare un eseguibile per rubare le password. Prima di ciò, la backdoor era a seconda del pacchetto NPM event-stream e il codice dannoso è stato scaricato circa 8 milioni di volte. Anche pacchetti dannosi nel repository PyPI.
Fonte: opennet.ru