Kumpanija ReversingLabs riżultati tal-analiżi tal-applikazzjoni fir-repożitorju RubyGems. Tipikament, typosquatting jintuża biex iqassam pakketti malizzjużi ddisinjati biex jikkawżaw żviluppatur mhux attent biex jagħmel typo jew ma jinnotax id-differenza meta jfittex. L-istudju identifika aktar minn 700 pakkett b'ismijiet simili għal pakketti popolari iżda li jvarjaw f'dettalji minuri, bħas-sostituzzjoni ta 'ittri simili jew l-użu ta' underscores minflok sings.
Komponenti suspettati li jwettqu attivitajiet malizzjużi nstabu f'aktar minn 400 pakkett. B'mod partikolari, il-fajl ġewwa kien aaa.png, li kien jinkludi kodiċi eżekutibbli f'format PE. Dawn il-pakketti kienu assoċjati ma’ żewġ kontijiet li permezz tagħhom RubyGems ġie stazzjonat mis-16 ta’ Frar sal-25 ta’ Frar, 2020 , li b'kollox ġew imniżżla madwar 95 elf darba. Ir-riċerkaturi infurmaw lill-amministrazzjoni RubyGems u l-pakketti malizzjużi identifikati diġà tneħħew mir-repożitorju.
Mill-pakketti problematiċi identifikati, l-aktar popolari kien "atlas-client", li mal-ewwel daqqa t'għajn huwa prattikament indistingwibbli mill-pakkett leġittimu "". Il-pakkett speċifikat ġie mniżżel 2100 darba (il-pakkett normali ġie mniżżel 6496 darba, jiġifieri l-utenti kienu żbaljati fi kważi 25% tal-każijiet). Il-pakketti li kien fadal ġew imniżżla medja ta’ 100-150 darba u ġew moħbija bħala pakketti oħra bl-użu ta’ teknika simili ta’ sostituzzjoni ta’ underscores u sing (pereżempju, fost : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Il-pakketti malizzjużi kienu jinkludu fajl PNG li kien fih fajl eżekutibbli għall-pjattaforma Windows minflok immaġni. Il-fajl ġie ġġenerat bl-użu ta 'l-utilità Ocra Ruby2Exe u kien jinkludi arkivju li joħroġ minnu nnifsu b'kitba Ruby u interpretu Ruby. Meta installa l-pakkett, il-fajl png ingħata isem ġdid għal exe u tnieda. Waqt l-eżekuzzjoni, inħoloq fajl VBScript u ġie miżjud ma 'autorun. Il-VBScript malizzjuż speċifikat f'linja analizza l-kontenut tal-clipboard għall-preżenza ta 'informazzjoni li tfakkar fl-indirizzi tal-kartiera kripto, u jekk jinstab, biddel in-numru tal-kartiera bl-istennija li l-utent ma jindunax bid-differenzi u jittrasferixxi fondi għall-kartiera ħażina. .
L-istudju wera li mhuwiex diffiċli li tinkiseb iż-żieda ta 'pakketti malizzjużi ma' wieħed mill-repożitorji l-aktar popolari, u dawn il-pakketti jistgħu jibqgħu ma jinstabux, minkejja numru sinifikanti ta 'tniżżil. Għandu jiġi nnutat li l-problema RubyGems u jkopri repożitorji popolari oħra. Per eżempju, is-sena li għaddiet l-istess riċerkaturi fir-repożitorju tal-NPM hemm pakkett malizzjuż imsejjaħ bb-builder, li juża teknika simili ta 'tnedija ta' fajl eżekutibbli biex jisirqu passwords. Qabel dan kien hemm backdoor skond il-pakkett NPM tal-avveniment-stream, il-kodiċi malizzjuż ġie mniżżel madwar 8 miljun darba. Pakketti malizzjużi wkoll fir-repożitorju PyPI.
Sors: opennet.ru