ReversingLabs 会社 アプリケーション分析結果 RubyGems リポジトリ内。通常、タイポスクワッティングは、注意力のない開発者がタイプミスをしたり、検索時に違いに気づかなかったりするように設計された悪意のあるパッケージを配布するために使用されます。この調査では、一般的なパッケージと名前が似ているものの、類似の文字を置き換えたり、ダッシュの代わりにアンダースコアを使用したりするなど、細かい点で異なる 700 以上のパッケージが特定されました。
悪意のある活動を実行する疑いのあるコンポーネントが 400 以上のパッケージで見つかりました。特に、内部のファイルは aaa.png であり、PE 形式の実行可能コードが含まれていました。これらのパッケージは、16 年 25 月 2020 日から XNUMX 月 XNUMX 日まで RubyGems が投稿された XNUMX つのアカウントに関連付けられていました。 、合計約 95 回ダウンロードされました。研究者らは RubyGems 管理者に通知し、特定された悪意のあるパッケージはすでにリポジトリから削除されたとのことです。
特定された問題のあるパッケージの中で最も人気があったのは「atlas-client」で、一見すると正規のパッケージとほとんど区別がつきません。」。指定されたパッケージは 2100 回ダウンロードされました (通常のパッケージは 6496 回ダウンロードされました。つまり、ほぼ 25% のケースでユーザーが間違っていました)。残りのパッケージは平均 100 ~ 150 回ダウンロードされ、アンダースコアとダッシュを置き換える同様の手法を使用して他のパッケージとして偽装されました (たとえば、 : appium-lib、action-mailer_cache_delivery、activemodel_validators、asciidoctor_bibliography、assets-pipeline、apress_validators、ar_octopus-replication-tracking、aliyun-open_search、aliyun-mns、ab_split、apns-polite)。
悪意のあるパッケージには、画像の代わりに Windows プラットフォーム用の実行可能ファイルを含む PNG ファイルが含まれていました。このファイルは Ocra Ruby2Exe ユーティリティを使用して生成され、Ruby スクリプトと Ruby インタープリタを含む自己解凍アーカイブが含まれていました。パッケージをインストールすると、png ファイルの名前が exe に変更されて起動されました。実行中に、VBScript ファイルが作成され、自動実行に追加されました。指定された悪意のある VBScript は、ループ内でクリップボードの内容を分析して、暗号通貨ウォレットのアドレスを思わせる情報の存在を調べ、検出された場合は、ユーザーが違いに気づかずに間違ったウォレットに資金を送金しないことを期待して、ウォレット番号を置き換えます。 。
この調査では、最も人気のあるリポジトリに悪意のあるパッケージを追加するのは難しくなく、かなりの数のダウンロードがあったにもかかわらず、これらのパッケージは検出されないままになる可能性があることが示されました。注意すべき問題は、 RubyGems と他の人気のあるリポジトリをカバーします。たとえば、昨年、同じ研究者が NPM リポジトリには、bb-builder と呼ばれる悪意のあるパッケージがあり、実行可能ファイルを起動する同様の手法を使用してパスワードを盗みます。この前にはバックドアがありました イベント ストリーム NPM パッケージによっては、悪意のあるコードが約 8 万回ダウンロードされました。悪意のあるパッケージも PyPI リポジトリ内にあります。
出所: オープンネット.ru