Uzņēmums ReversingLabs lietojumprogrammu analīzes rezultāti RubyGems repozitorijā. Parasti typosquatting tiek izmantots, lai izplatītu ļaunprātīgas pakotnes, kuru mērķis ir likt neuzmanīgam izstrādātājam izdarīt drukas kļūdu vai nepamanīt atšķirību, veicot meklēšanu. Pētījumā tika identificēti vairāk nekā 700 pakotņu ar nosaukumiem, kas ir līdzīgi populārām pakotnēm, bet atšķiras ar nelielām detaļām, piemēram, aizstājot līdzīgus burtus vai izmantojot pasvītrojumus domuzīmju vietā.
Sastāvdaļas, par kurām ir aizdomas, ka tās veic ļaunprātīgas darbības, tika atrastas vairāk nekā 400 iepakojumos. Jo īpaši iekšā esošais fails bija aaa.png, kas ietvēra izpildāmo kodu PE formātā. Šīs pakotnes bija saistītas ar diviem kontiem, caur kuriem RubyGems tika publicēts no 16. gada 25. februāra līdz 2020. februārim , kas kopumā tika lejupielādēti aptuveni 95 tūkstošus reižu. Pētnieki informēja RubyGems administrāciju, un identificētās ļaunprātīgās pakotnes jau ir izņemtas no krātuves.
No identificētajām problemātiskajām pakotnēm vispopulārākā bija “atlas-klients”, kas no pirmā acu uzmetiena praktiski neatšķiras no likumīgās paketes “". Norādītā pakotne tika lejupielādēta 2100 reizes (parastā pakotne tika lejupielādēta 6496 reizes, t.i., lietotāji kļūdījās gandrīz 25% gadījumu). Pārējās pakotnes tika lejupielādētas vidēji 100–150 reizes un tika maskētas kā citas pakotnes, izmantojot līdzīgu paņēmienu pasvītru un domuzīmju aizstāšanai (piemēram, starp : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, properties-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Ļaunprātīgās pakotnes ietvēra PNG failu, kurā bija Windows platformas izpildāmais fails, nevis attēls. Fails tika ģenerēts, izmantojot utilītu Ocra Ruby2Exe, un tajā bija iekļauts pašizpletes arhīvs ar Ruby skriptu un Ruby tulku. Instalējot pakotni, png fails tika pārdēvēts par exe un palaists. Izpildes laikā tika izveidots VBScript fails, kas tika pievienots automātiskajai palaišanai. Norādītais ļaunprātīgais VBScript cilpā analizēja starpliktuves saturu, lai noteiktu, vai tajā nav informācijas, kas atgādina šifrēšanas maka adreses, un, ja tika konstatēts, aizstāja maka numuru ar cerībām, ka lietotājs nepamanīs atšķirības un pārskaitīs līdzekļus uz nepareizo maku. .
Pētījums parādīja, ka nav grūti panākt, lai ļaunprātīgas pakotnes tiktu pievienotas vienai no populārākajām krātuvēm, un šīs pakotnes var palikt neatklātas, neskatoties uz ievērojamu lejupielāžu skaitu. Jāatzīmē, ka problēma RubyGems un aptver citas populāras krātuves. Piemēram, pērn tie paši pētnieki NPM repozitorijā ir ļaunprātīga pakotne ar nosaukumu bb-builder, kas izmanto līdzīgu paņēmienu, lai palaistu izpildāmo failu, lai nozagtu paroles. Pirms tam bija aizmugures durvis atkarībā no notikumu straumes NPM pakotnes ļaunprātīgais kods tika lejupielādēts aptuveni 8 miljonus reižu. Arī ļaunprātīgas paketes PyPI repozitorijā.
Avots: opennet.ru