ReversingLabs Company Applikatioun Analyse Resultater am RubyGems Repository. Typesch gëtt Typosquatting benotzt fir béiswëlleg Packagen ze verdeelen, entwéckelt fir en onopmerksamen Entwéckler ze verursaachen fir en Tippfeeler ze maachen oder den Ënnerscheed net ze bemierken wann Dir sicht. D'Etude identifizéiert méi wéi 700 Packagen mat Nimm ähnlech wéi populär Packagen awer ënnerscheede sech a kleng Detailer, sou wéi d'Ersatz vun ähnlechen Buschtawen oder d'Benotzung vun Ënnersträicher amplaz vun Bindestricher.
Komponente verdächtegt béiswëlleg Aktivitéiten auszeféieren goufen a méi wéi 400 Packagen fonnt. Besonnesch d'Datei dobannen war aaa.png, deen ausführbare Code am PE-Format enthält. Dës Pakete ware mat zwee Konten assoziéiert duerch déi RubyGems vum 16. Februar bis de 25. Februar 2020 gepost gouf. , déi am Ganzen ongeféier 95 dausend mol erofgeluede goufen. D'Fuerscher hunn d'RubyGems Administratioun informéiert an déi identifizéiert béiswëlleg Pakete si scho vum Repository geläscht.
Vun de problematesche Packagen, déi identifizéiert goufen, war déi populärste "Atlas-Client", déi op den éischte Bléck praktesch net z'ënnerscheeden ass vum legitimen Package "". De spezifizéierte Package gouf 2100 Mol erofgelueden (den normale Package gouf 6496 Mol erofgelueden, dh d'Benotzer ware falsch a bal 25% vun de Fäll). Déi verbleiwen Pakete goufen am Duerchschnëtt 100-150 Mol erofgelueden a goufen als aner Pakete getarnt mat enger ähnlecher Technik fir Ënnersträicher an Bindestricher z'ersetzen (zum Beispill, ënner anerem : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Déi béiswëlleg Packagen enthalen eng PNG-Datei déi eng ausführbar Datei fir d'Windows Plattform enthält anstatt e Bild. D'Datei gouf generéiert mat dem Ocra Ruby2Exe Utility an enthält e selbstextraktéierend Archiv mat engem Ruby Skript an Ruby Dolmetscher. Wann Dir de Package installéiert, gouf d'png-Datei op exe ëmbenannt a gestart. Wärend der Ausféierung gouf eng VBScript-Datei erstallt an op Autorun bäigefüügt. De spezifizéierte béiswëlleg VBScript an enger Loop analyséiert den Inhalt vum Clipboard fir d'Präsenz vun Informatioun, déi un d'Krypto Portemonnaie Adressen erënnert, a wann se festgestallt ginn, huet d'Portemonnaienummer ersat mat der Erwaardung datt de Benotzer d'Ënnerscheeder net bemierkt an d'Suen op de falsche Portemonnaie transferéieren. .
D'Studie huet gewisen datt et net schwéier ass d'Additioun vu béiswëlleg Packagen op ee vun de populäersten Repositories z'erreechen, an dës Packagen kënnen onentdeckt bleiwen, trotz enger bedeitender Unzuel vun Downloads. Et soll feststellen, datt de Problem RubyGems an deckt aner populär Repositories. Zum Beispill, lescht Joer déi selwecht Fuerscher am NPM Repository gëtt et e béiswëlleg Package genannt bb-builder, deen eng ähnlech Technik benotzt fir eng ausführbar Datei ze starten fir Passwierder ze klauen. Virdru gouf et eng Hannerdier ofhängeg vum Event-Stream NPM Package, de béisaarteg Code gouf ongeféier 8 Millioune Mol erofgelueden. Béiswëlleg Packagen och am PyPI Repository.
Source: opennet.ru