Откриени 724 малициозни пакети во RubyGems

Компанијата ReversingLabs објавено резултатите од анализата на апликацијата типкање во складиштето на RubyGems. Вообичаено, typosquatting се користи за дистрибуција на малициозни пакети дизајнирани да предизвикаат невнимателен развивач да направи печатна грешка или да не ја забележи разликата при пребарувањето. Студијата идентификуваше повеќе од 700 пакети со имиња слични на популарните пакети, но се разликуваат во мали детали, како замена на слични букви или користење на долна цртичка наместо цртички.

Во повеќе од 400 пакувања се пронајдени компоненти за кои постои сомневање дека вршеле злонамерни активности. Особено, датотеката внатре беше aaa.png, која вклучуваше извршна шифра во PE формат. Овие пакети беа поврзани со две сметки преку кои RubyGems беше објавено од 16 февруари до 25 февруари 2020 година 724 малициозни пакети, кои вкупно беа преземени околу 95 илјади пати. Истражувачите ја информираа администрацијата на RubyGems и идентификуваните малициозни пакети веќе се отстранети од складиштето.

Од идентификуваните проблематични пакети, најпопуларен беше „атлас-клиент“, кој на прв поглед практично не се разликува од легитимниот пакет.atlas_client“. Наведениот пакет беше преземен 2100 пати (нормалниот пакет беше преземен 6496 пати, т.е. корисниците погрешија во скоро 25% од случаите). Останатите пакети беа преземени во просек 100-150 пати и беа камуфлирани како други пакети користејќи слична техника на замена на долните цртички и цртички (на пример, меѓу злонамерни пакети: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).

Злонамерните пакети вклучуваа PNG-датотека која содржеше извршна датотека за платформата Windows наместо слика. Датотеката беше генерирана со помош на алатката Ocra Ruby2Exe и вклучуваше архива за самоизвлекување со скрипта Руби и преведувач на Руби. При инсталирање на пакетот, датотеката png беше преименувана во exe и стартувана. За време на извршувањето, беше креирана датотека VBScript и додадена на автоматско активирање. Наведениот злонамерен VBScript во јамка ја анализираше содржината на таблата со исечоци за присуство на информации кои потсетуваат на адреси на криптопаричник и доколку се открие, го замени бројот на паричникот со очекување дека корисникот нема да ги забележи разликите и да префрли средства на погрешен паричник. .

Студијата покажа дека не е тешко да се постигне додавање на малициозни пакети во едно од најпопуларните складишта, а овие пакети може да останат неоткриени, и покрај значителниот број преземања. Треба да се напомене дека проблемот Нема специфичен за RubyGems и покрива други популарни складишта. На пример, минатата година истите истражувачи идентификувани во складиштето NPM постои злонамерен пакет наречен bb-builder, кој користи слична техника за лансирање на извршна датотека за да ги украде лозинките. Пред ова имаше задна врата пронајдени во зависност од пакетот NPM за пренос на настани, малициозниот код беше преземен околу 8 милиони пати. Злонамерни пакети исто така периодично pop-up во складиштето PyPI.

Извор: opennet.ru