ReversingLabs компаниясы қолданбалы талдау нәтижелері RubyGems репозиторийінде. Әдетте, typosquatting немқұрайлы әзірлеушіге қате жасау немесе іздеу кезінде айырмашылықты байқамау үшін жасалған зиянды пакеттерді тарату үшін қолданылады. Зерттеу танымал бумаларға ұқсас атаулары бар, бірақ ұқсас әріптерді ауыстыру немесе сызықшалардың орнына астын сызу сияқты ұсақ-түйектерде ерекшеленетін 700-ден астам буманы анықтады.
400-ден астам пакеттен зиянды әрекеттерді орындауға күдікті компоненттер табылды. Атап айтқанда, ішіндегі файл aaa.png болды, ол PE пішіміндегі орындалатын кодты қамтиды. Бұл пакеттер RubyGems 16 жылдың 25 ақпанынан 2020 ақпанына дейін жарияланған екі есептік жазбамен байланыстырылған. , барлығы шамамен 95 мың рет жүктелген. Зерттеушілер RubyGems әкімшілігін хабардар етті және анықталған зиянды пакеттер репозиторийден жойылды.
Анықталған проблемалық пакеттердің ішінде ең танымалы «атлас-клиент» болды, ол бір қарағанда заңды пакеттен іс жүзінде айырмашылығы жоқ ««. Көрсетілген пакет 2100 рет жүктелді (қалыпты пакет 6496 рет жүктелді, яғни пайдаланушылар 25% дерлік жағдайда қателескен). Қалған пакеттер орта есеппен 100-150 рет жүктелді және астыңғы сызықтар мен сызықшаларды ауыстырудың ұқсас әдісін қолдана отырып, басқа пакеттер ретінде камуфляждалған (мысалы, арасында : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-репликацияны қадағалау, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Зиянды бумалар кескіннің орнына Windows платформасына арналған орындалатын файлды қамтитын PNG файлын қамтиды. Файл Ocra Ruby2Exe утилитасының көмегімен жасалған және Ruby сценарийі мен Ruby аудармашысы бар өздігінен ашылатын мұрағатты қамтиды. Буманы орнату кезінде png файлының атауы exe болып өзгертілді және іске қосылды. Орындау барысында VBScript файлы жасалды және автоматты іске қосуға қосылды. Көрсетілген зиянды VBScript циклде криптографиялық әмиян мекенжайларын еске түсіретін ақпараттың бар-жоқтығына алмасу буферінің мазмұнын талдады және анықталған жағдайда әмиян нөмірін пайдаланушы айырмашылықтарды байқамайды және ақшаны дұрыс емес әмиянға аударады деген үмітпен ауыстырды. .
Зерттеу ең танымал репозитарийлердің біріне зиянды пакеттерді қосу қиын емес екенін көрсетті және бұл пакеттер жүктеулердің айтарлықтай санына қарамастан анықталмай қалуы мүмкін. Айта кету керек, мәселе RubyGems және басқа танымал репозиторийлерді қамтиды. Мысалы, өткен жылы дәл осы зерттеушілер NPM репозиторийінде құпия сөздерді ұрлау үшін орындалатын файлды іске қосудың ұқсас әдісін қолданатын bb-Builder деп аталатын зиянды пакет бар. Бұған дейін артқы есік болған оқиғалар ағыны NPM пакетіне байланысты зиянды код шамамен 8 миллион рет жүктелді. Зиянды пакеттер де PyPI репозиторийінде.
Ақпарат көзі: opennet.ru