Şirketa ReversingLabs encamên analîza sepanê di depoya RubyGems de. Bi gelemperî, typosquatting ji bo belavkirina pakêtên xerab ên ku ji bo pêşdebirek bêhiş hatine çêkirin tê bikar anîn ku di dema lêgerînê de ferqê çêbike an jî cûdahiyê nebîne. Di lêkolînê de zêdetirî 700 pakêtên ku navên wan dişibin pakêtên populer lê di hûrguliyên piçûk de ji hev cihê ne, wek cîgirkirina herfên mîna hev an jî li şûna daçekan binavkirî têne bikar anîn.
Di zêdetirî 400 paketan de pêkhateyên ku gumana wan karên xerab dikin hatin dîtin. Bi taybetî, pelê di hundurê de aaa.png bû, ku di forma PE-ê de koda darvekirinê vedihewand. Van pakêtan bi du hesabên ku RubyGems ji 16-ê Sibatê heya 25-ê Sibatê, 2020-an ve hatî şandin ve girêdayî bûn. , ku bi giştî nêzî 95 hezar car hatine daxistin. Lekolînwanan rêveberiya RubyGems agahdar kirin û pakêtên xerab ên naskirî berê ji depoyê hatine rakirin.
Ji pakêtên problematîk ên ku hatine tespît kirin, ya herî populer "atlas-mişterî" bû, ku di nihêrîna pêşîn de bi pratîkî ji pakêta rewa nayê cûda kirin.". Pakêta diyarkirî 2100 carî hate dakêşandin (pakêta normal 6496 caran hate daxistin, ango bikarhêner hema hema di 25% bûyeran de xelet bûn). Pakêtên mayî bi navînî 100-150 caran hatin daxistin û wekî pakêtên din bi karanîna teknîkek wekhev a li şûna xêzkirin û daçekan hatin kamûflekirin (mînak, di nav de : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Di nav pakêtên xerab de pelek PNG ya ku ji bo platforma Windows-ê li şûna wêneyek pelek îcrakar vedihewîne, vedihewîne. Pelê bi karanîna kargêriya Ocra Ruby2Exe hate çêkirin û di nav xwe de arşîvek xwe-derxistina bi tîpek Ruby û wergêrê Ruby vedihewand. Dema ku pakêtê saz kir, pelê png wekî exe hate guheztin û hate destpêkirin. Di dema darvekirinê de, pelek VBScript hate afirandin û li autorun hate zêdekirin. VBScript-ya xerab a diyarkirî di dorpêkek de naveroka pabloyê ji bo hebûna agahdariya ku navnîşanên berîka krîptoyê tîne bîra xwe analîz kir, û heke were tespît kirin, bi hêviya ku bikarhêner cûdahiyan ferq neke û drav veguhezîne berîka xelet, li şûna jimareya walletê vediguhezîne. .
Lêkolînê destnîşan kir ku ne dijwar e ku meriv lêzêdekirina pakêtên xerab li yek ji depoyên herî populer bigihîje, û ev pakêt tevî hejmareke girîng dakêşan dikarin nenas bimînin. Divê bê zanîn ku pirsgirêk RubyGems û depoyên din ên populer vedigire. Mînak sala borî heman lêkolîner di depoya NPM-ê de pakêtek xirab a bi navê bb-builder heye, ku teknîkek wekhev a destpêkirina pelek îcrakar bikar tîne da ku şîfreyan dizîne. Beriya vê deriyek paşverû hebû Li gorî pakêta NPM-a bûyer-streamê ve girêdayî, koda xerab bi qasî 8 mîlyon carî hate dakêşandin. Pakêtên xerab jî di depoya PyPI de.
Source: opennet.ru