റിവേഴ്സിംഗ് ലാബ്സ് കമ്പനി ആപ്ലിക്കേഷൻ വിശകലന ഫലങ്ങൾ RubyGems ശേഖരത്തിൽ. സാധാരണഗതിയിൽ, അശ്രദ്ധനായ ഒരു ഡെവലപ്പർ അക്ഷരത്തെറ്റുണ്ടാക്കുകയോ തിരയുമ്പോൾ വ്യത്യാസം കാണാതിരിക്കുകയോ ചെയ്യുന്ന ക്ഷുദ്ര പാക്കേജുകൾ വിതരണം ചെയ്യാൻ ടൈപ്പ് ക്വാട്ടിംഗ് ഉപയോഗിക്കുന്നു. സമാനമായ അക്ഷരങ്ങൾ മാറ്റിസ്ഥാപിക്കുക അല്ലെങ്കിൽ ഡാഷുകൾക്ക് പകരം അടിവരകൾ ഉപയോഗിക്കുക എന്നിങ്ങനെയുള്ള ചെറിയ വിശദാംശങ്ങളിൽ വ്യത്യാസമുള്ളതും ജനപ്രിയ പാക്കേജുകളോട് സാമ്യമുള്ളതുമായ 700-ലധികം പാക്കേജുകൾ പഠനം തിരിച്ചറിഞ്ഞു.
400-ലധികം പാക്കേജുകളിൽ, ദുരുദ്ദേശ്യപരമായ പ്രവർത്തനങ്ങൾ നടത്തിയെന്ന് സംശയിക്കുന്ന ഘടകങ്ങൾ കണ്ടെത്തി. പ്രത്യേകിച്ചും, അതിനുള്ളിൽ aaa.png ഫയൽ ഉണ്ടായിരുന്നു, അതിൽ PE ഫോർമാറ്റിൽ എക്സിക്യൂട്ടബിൾ കോഡ് ഉൾപ്പെടുന്നു. ഈ പാക്കേജുകൾ 16 ഫെബ്രുവരി 25 മുതൽ 2020 വരെ റൂബിജെംസ് ഹോസ്റ്റ് ചെയ്ത രണ്ട് അക്കൗണ്ടുകളുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു , ഇത് മൊത്തം 95 ആയിരം തവണ ഡൗൺലോഡ് ചെയ്തു. ഗവേഷകർ RubyGems അഡ്മിനിസ്ട്രേഷനെ അറിയിച്ചു, തിരിച്ചറിഞ്ഞ ക്ഷുദ്ര പാക്കേജുകൾ ഇതിനകം തന്നെ ശേഖരത്തിൽ നിന്ന് നീക്കം ചെയ്തിട്ടുണ്ട്.
തിരിച്ചറിഞ്ഞ പ്രശ്നമുള്ള പാക്കേജുകളിൽ, ഏറ്റവും ജനപ്രിയമായത് "അറ്റ്ലസ്-ക്ലയന്റ്" ആയിരുന്നു, അത് ഒറ്റനോട്ടത്തിൽ നിയമാനുസൃതമായ പാക്കേജിൽ നിന്ന് വേർതിരിച്ചറിയാൻ കഴിയില്ല "". നിർദ്ദിഷ്ട പാക്കേജ് 2100 തവണ ഡൗൺലോഡ് ചെയ്തു (സാധാരണ പാക്കേജ് 6496 തവണ ഡൗൺലോഡ് ചെയ്തു, അതായത് ഏകദേശം 25% കേസുകളിൽ ഉപയോക്താക്കൾ തെറ്റിദ്ധരിച്ചു). ബാക്കിയുള്ള പാക്കേജുകൾ ശരാശരി 100-150 തവണ ഡൗൺലോഡ് ചെയ്യുകയും സമാനമായ അണ്ടർസ്കോറും ഡാഷ് റീപ്ലേസ്മെന്റ് ടെക്നിക്കുകളും ഉപയോഗിച്ച് മറ്റ് പാക്കേജുകളായി മറയ്ക്കുകയും ചെയ്തു (ഉദാഹരണത്തിന്, ഇവയിൽ : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, Assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
ക്ഷുദ്രകരമായ പാക്കേജുകളിൽ ഒരു ചിത്രത്തിന് പകരം വിൻഡോസ് പ്ലാറ്റ്ഫോമിനായി എക്സിക്യൂട്ടബിൾ ഫയൽ അടങ്ങിയ PNG ഫയൽ ഉൾപ്പെടുന്നു. Ocra Ruby2Exe യൂട്ടിലിറ്റി ഉപയോഗിച്ചാണ് ഫയൽ സൃഷ്ടിച്ചത്, കൂടാതെ റൂബി സ്ക്രിപ്റ്റും റൂബി ഇന്റർപ്രെറ്ററും ഉള്ള ഒരു സെൽഫ് എക്സ്ട്രാക്റ്റിംഗ് ആർക്കൈവ് ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, png ഫയൽ exe എന്ന് പുനർനാമകരണം ചെയ്യുകയും സമാരംഭിക്കുകയും ചെയ്തു. എക്സിക്യൂഷൻ സമയത്ത്, VBScript ഉള്ള ഒരു ഫയൽ സൃഷ്ടിക്കുകയും ഓട്ടോറണ്ണിലേക്ക് ചേർക്കുകയും ചെയ്തു. ഒരു ലൂപ്പിലെ നിർദ്ദിഷ്ട ക്ഷുദ്രകരമായ VBScript, ക്രിപ്റ്റോ വാലറ്റുകളുടെ വിലാസങ്ങളുമായി സാമ്യമുള്ള വിവരങ്ങൾക്കായി ക്ലിപ്പ്ബോർഡിലെ ഉള്ളടക്കങ്ങൾ വിശകലനം ചെയ്തു, കണ്ടെത്തിയാൽ, ഉപയോക്താവ് വ്യത്യാസങ്ങൾ ശ്രദ്ധിക്കുകയും തെറ്റായ വാലറ്റിലേക്ക് ഫണ്ട് കൈമാറുകയും ചെയ്യുമെന്ന പ്രതീക്ഷയോടെ വാലറ്റ് നമ്പർ മാറ്റി.
ഏറ്റവും പ്രചാരമുള്ള ഒരു റിപ്പോസിറ്ററിയിലേക്ക് ക്ഷുദ്രകരമായ പാക്കേജുകൾ ചേർക്കുന്നത് ബുദ്ധിമുട്ടുള്ള കാര്യമല്ലെന്നും ഗണ്യമായ എണ്ണം ഡൗൺലോഡുകൾ ഉണ്ടായിരുന്നിട്ടും ഈ പാക്കേജുകൾ ശ്രദ്ധിക്കപ്പെടാതെ പോകുമെന്നും നടത്തിയ ഗവേഷണം തെളിയിച്ചിട്ടുണ്ട്. പ്രശ്നം എന്ന് ശ്രദ്ധിക്കേണ്ടതാണ് RubyGems, മറ്റ് ജനപ്രിയ ശേഖരണങ്ങളിൽ സ്പർശിക്കുന്നു. ഉദാഹരണത്തിന്, കഴിഞ്ഞ വർഷം ഇതേ ഗവേഷകർ NPM റിപ്പോസിറ്ററിയിൽ, പാസ്വേഡുകൾ മോഷ്ടിക്കാൻ എക്സിക്യൂട്ടബിൾ സമാരംഭിക്കുന്നതിന് സമാനമായ സാങ്കേതികത ഉപയോഗിക്കുന്ന ഒരു ക്ഷുദ്രകരമായ bb-builder പാക്കേജ്. അതിനുമുമ്പ്, പിൻവാതിൽ ആയിരുന്നു NPM പാക്കേജ് ഇവന്റ്-സ്ട്രീമിനെ ആശ്രയിച്ച് ക്ഷുദ്ര കോഡ് ഏകദേശം 8 ദശലക്ഷം തവണ ഡൗൺലോഡ് ചെയ്തു. ക്ഷുദ്രകരമായ പാക്കേജുകളും PyPI ശേഖരത്തിൽ.
അവലംബം: opennet.ru