ReversingLabs компани хэрэглээний шинжилгээний үр дүн RubyGems хадгалах газарт. Ихэвчлэн хайлт хийхдээ хайхрамжгүй хөгжүүлэгчид үсгийн алдаа гаргах эсвэл ялгааг нь анзаарахгүй байх зорилготой хортой багцуудыг түгээхэд typosquatting ашигладаг. Судалгаагаар алдартай багцтай төстэй нэртэй боловч ижил төстэй үсгүүдийг орлуулах, зураасны оронд доогуур зураас ашиглах гэх мэт жижиг нарийн ширийн зүйлсээр ялгаатай 700 гаруй багцыг илрүүлжээ.
400 гаруй багцаас хорлонтой үйлдэл хийсэн байж болзошгүй бүрэлдэхүүн хэсгүүдийг илрүүлсэн байна. Ялангуяа доторх файл нь aaa.png байсан бөгөөд үүнд PE форматтай гүйцэтгэх код багтсан байв. Эдгээр багцууд нь 16 оны 25-р сарын 2020-аас XNUMX-р сарын XNUMX-ны хооронд RubyGems-ийг нийтэлсэн хоёр данстай холбоотой байсан. , нийтдээ 95 мянга орчим удаа татагдсан байна. Судлаачид RubyGems-ийн захиргаанд мэдэгдсэн бөгөөд илэрсэн хортой багцуудыг хадгалах газраас устгасан байна.
Тодорхойлсон асуудалтай багцуудаас хамгийн алдартай нь "атлас-клиент" байсан бөгөөд энэ нь эхлээд харахад хууль ёсны багцаас бараг ялгагдахгүй юм.". Заасан багцыг 2100 удаа татсан (хэвийн багцыг 6496 удаа татсан, өөрөөр хэлбэл хэрэглэгчдийн бараг 25% нь буруу байсан). Үлдсэн багцуудыг дунджаар 100-150 удаа татаж авсан бөгөөд доогуур зураас болон зураасыг солих ижил төстэй техникийг ашиглан бусад багц болгон өнгөлөн далдалсан. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Хортой багцууд нь зургийн оронд Windows платформын гүйцэтгэх файлыг агуулсан PNG файлыг агуулсан байна. Энэ файлыг Ocra Ruby2Exe хэрэглүүрийг ашиглан үүсгэсэн бөгөөд Ruby скрипт болон Ruby орчуулагчтай өөрөө задлах архивыг агуулсан. Багцыг суулгах үед png файлын нэрийг exe болгож өөрчилсөн. Гүйцэтгэх явцад VBScript файлыг үүсгэн автоматаар ажиллуулахад нэмсэн. Заасан хортой VBScript нь түрийвчний хаягийг санагдуулам мэдээлэл байгаа эсэхийг санах ойд дүн шинжилгээ хийж, илрүүлсэн тохиолдолд хэрэглэгч ялгааг анзаарахгүй, буруу түрийвч рүү мөнгө шилжүүлэхгүй гэсэн хүлээлтээр түрийвчний дугаарыг сольсон. .
Судалгаанаас үзэхэд хамгийн алдартай хадгалах газруудын нэгэнд хортой багц нэмж оруулах нь тийм ч хэцүү биш бөгөөд эдгээр багцууд нэлээд олон тооны татан авалтыг үл харгалзан илрээгүй хэвээр үлддэг. Асуудал байгааг тэмдэглэх нь зүйтэй RubyGems ба бусад алдартай репозиторуудыг хамардаг. Тухайлбал, өнгөрсөн жил мөн л судлаачид NPM репозиторт bb-builder хэмээх хортой багц байдаг бөгөөд энэ нь нууц үг хулгайлахын тулд гүйцэтгэх файлыг ажиллуулдаг ижил төстэй аргыг ашигладаг. Үүнээс өмнө арын хаалга байсан үйл явдлын урсгалын NPM багцаас хамааран хортой кодыг 8 сая орчим удаа татаж авсан. Мөн хортой багцууд PyPI репозитор дээр.
Эх сурвалж: opennet.ru