ReversingLabs компаниясы колдонуу талдоо натыйжалары RubyGems репозиторийинде. Адатта, typosquatting көңүл бурбаган иштеп чыгуучунун ката кетириши же издөөдө айырманы байкабай калышы үчүн жасалган зыяндуу пакеттерди жайылтуу үчүн колдонулат. Изилдөө популярдуу пакеттерге окшош, бирок окшош тамгаларды алмаштыруу же сызыкчалардын ордуна астынкы сызыктарды колдонуу сыяктуу майда деталдары менен айырмаланган 700дөн ашык пакетти аныктады.
Зыяндуу иш-аракеттерди жасаган деп шектелген компоненттер 400дөн ашык пакеттен табылган. Тактап айтканда, ичиндеги файл aaa.png болчу, анда PE форматындагы аткарылуучу код камтылган. Бул топтомдор эки аккаунт менен байланышкан, алар аркылуу RubyGems 16-жылдын 25-февралынан 2020-февралына чейин жарыяланган. , алар жалпысынан 95 миңге жакын жолу жүктөлгөн. Изилдөөчүлөр RubyGems администрациясына маалымдашты жана аныкталган зыяндуу пакеттер репозиторийден алынып салынган.
Белгиленген көйгөйлүү пакеттердин ичинен эң популярдуусу "атлас-кардар" болду, ал бир караганда мыйзамдуу пакеттен дээрлик айырмаланбайт.". Көрсөтүлгөн топтом 2100 жолу жүктөлүп алынган (кадимки пакет 6496 жолу жүктөлгөн, б.а. колдонуучулар дээрлик 25% учурларда туура эмес болгон). Калган топтомдор орто эсеп менен 100-150 жолу жүктөлүп алынган жана астыңкы сызыктарды жана сызыктарды алмаштыруунун окшош ыкмасын колдонуу менен башка пакеттер катары камуфляждалган (мисалы, : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-репликацияга көз салуу, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Зыяндуу топтомдор сүрөттүн ордуна Windows платформасы үчүн аткарылуучу файлды камтыган PNG файлын камтыган. Файл Ocra Ruby2Exe утилитасынын жардамы менен түзүлгөн жана Ruby скрипти жана Ruby котормочусу бар өз алдынча ачылуучу архивди камтыган. Пакетти орнотууда png файлы exe деп өзгөртүлүп, ишке киргизилди. Аткаруу учурунда VBScript файлы түзүлүп, автоматтык иштетүүгө кошулган. Көрсөтүлгөн зыяндуу VBScript циклде алмашуу буферинин мазмунун крипто-капчык даректерин эске салган маалыматтын бар-жоктугун талдап, эгер аныкталса, колдонуучу айырмачылыктарды байкабай калат жана акча каражаттарын туура эмес капчыкка которот деген үмүт менен капчыктын номерин алмаштырган. .
Изилдөө көрсөткөндөй, эң популярдуу репозиторийлердин бирине зыяндуу пакеттерди кошууга жетишүү кыйын эмес жана бул пакеттер жүктөлүп алынгандардын олуттуу санына карабастан, байкалбай калышы мүмкүн. көйгөй экенин белгилей кетүү керек RubyGems жана башка популярдуу репозиторийлерди камтыйт. Мисалы, еткен жылы ушул эле илимий кызматкерлер NPM репозиторийинде bb-Builder деп аталган зыяндуу пакет бар, ал сырсөздөрдү уурдоо үчүн аткарылуучу файлды ишке киргизүүнүн окшош ыкмасын колдонот. Буга чейин арткы эшик бар болчу окуя агымы NPM пакетине жараша, зыяндуу код болжол менен 8 миллион жолу жүктөлүп алынган. Зыяндуу пакеттер да PyPI репозиторийинде.
Source: opennet.ru