ReversingLabs Company application analysis results in repositorio RubyGems. Typice typosquatting adhibetur ad fasciculos malignos distribuendos destinati ut elit indiligens efficiat vel typo vel non notet differentiam in quaerendo. Studium plus quam 700 fasciculorum notavit nominibus fasciculis popularibus similes, sed in minutiis differentibus, sicut litterae similes substituere vel pro arietibus uti minus.
Componentes suspecti de actionibus malignis faciendis plus quam 400 fasciculis inventi sunt. Praesertim tabella intus erat aaa.png, quae codicem exsecutabile in PE forma comprehendit. Hae fasciculi duabus rationibus associati sunt per quas RubyGems missa est a die 16 februarii ad diem 25 februarii 2020 quae in summa milia fere 95 milium receptae sunt. Investigatores certiorem fecerunt administrationem RubyGems et fasciculos malignos identificatos iam e conditorio remoti sunt.
Fasciculi problematici notati, maxime popularis fuit "atlas-cliens", quae prima specie a sarcina legitima fere indiscreta est.Β». Involucrum definitum 2100 temporibus recepta est (involucrum normale 6496 tempore receptum est, i.e. utentes circiter 25% casuum erraverunt). Reliquae fasciculi in mediocris 100-150 temporibus receptae sunt et camouflaged sicut aliae fasciculi utentes simili artificio reponendi underscores et inlidit (exempli gratia apud : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, bonorum pipeline, apress_validators, ar_octopus-replication tracking, aliyun-open_search, aliyun-mus, absplit, apus-polite).
Fasciculi malitiosi incluserunt fasciculum PNG qui exsecutabile continebat pro tribunali Fenestrae loco imaginis. Tabella generata est utilitas ex Ocra Ruby2Exe et inclusa archivo auto-extrahendo cum scripto Ruby et interprete Ruby. Cum involucrum inaugurari, fasciculus png renominatus est ut exe et deduci possit. In executione, fasciculus VBScriptorum autorunorum creatus est et adiectus est. VBScript malitiosa specificata in ansa enucleata argumenta clipboard pro praesentia informationis reminiscentiae inscriptionum crypto- rarum, et si detectae sunt, pone numerum crumenam cum exspectatione utentis differentias non animadvertere et pecunias in peram iniuriam transferre. .
Studium demonstravit non difficile esse additionem malitiosorum fasciculorum uni ex repositoriis popularibus consequi, et hae fasciculi latent manere possunt, licet notabilis numerus downloads. Notandum, quod problema RubyGems et tegit alia repositoria popularia. Exempli gratia, anno superiore iidem inquisitores in NPM repositorium est malitiosa sarcina vocata bb aedificatrix, quae simili artificio utitur ad limam exsecutabilem deducendi ad tesseras furandi. Ante hoc erat posticum secundum involucrum NPM eventus-fluminis, codice maligno recepta est circiter 8 decies centena tempora. Malicious etiam packages in reposito PyPI.
Source: opennet.ru