ReversingLabs ကုမ္ပဏီ လျှောက်လွှာခွဲခြမ်းစိတ်ဖြာရလဒ်များ RubyGems သိုလှောင်မှုတွင်။ ပုံမှန်အားဖြင့်၊ typosquatting ကို သတိပြုမိသော developer သည် typo တစ်ခုပြုလုပ်ရန် သို့မဟုတ် ရှာဖွေသည့်အခါတွင် ကွာခြားချက်ကို သတိမပြုမိစေရန် ဒီဇိုင်းထုတ်ထားသော အန္တရာယ်ရှိသော package များကို ဖြန့်ဝေရန်အတွက် အသုံးပြုပါသည်။ လေ့လာမှုတွင် လူကြိုက်များသော ပက်ကေ့ဂျ်များနှင့် ဆင်တူသော အမည်များပါသည့် ပက်ကေ့ဂျ် 700 ကျော်ကို ခွဲခြားသတ်မှတ်ထားသော်လည်း အလားတူ စာလုံးများကို အစားထိုးခြင်း သို့မဟုတ် ကက်ရှ်များအစား အောက်ခံအမှတ်များ အသုံးပြုခြင်းကဲ့သို့သော အသေးစားအသေးစိတ်အချက်များ ကွဲပြားသည်။
အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို လုပ်ဆောင်သည်ဟု သံသယရှိသော အစိတ်အပိုင်းများကို အထုပ် ၄၀၀ ကျော်တွင် တွေ့ရှိခဲ့သည်။ အထူးသဖြင့်၊ PE ဖော်မတ်တွင် executable code ပါ၀င်သော ဖိုင်အတွင်းတွင် aaa.png ဖြစ်သည်။ ဤပက်ကေ့ဂျ်များသည် RubyGems ကို ဖေဖော်ဝါရီ 400 ရက်မှ 16 ခုနှစ်၊ ဖေဖော်ဝါရီလ 25 ရက်အထိ ပို့စ်တင်ခဲ့သည့် အကောင့်နှစ်ခုနှင့် ဆက်စပ်နေသည် စုစုပေါင်း အကြိမ်ရေ ၉၅ဝဝဝ ခန့် ဒေါင်းလုဒ်လုပ်ခဲ့သည်။ သုတေသီများသည် RubyGems အုပ်ချုပ်ရေးကို အသိပေးခဲ့ပြီး ဖော်ထုတ်ထားသော အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျများကို သိုလှောင်ရုံမှ ဖယ်ရှားပြီးဖြစ်သည်။
ဖော်ထုတ်ထားသော ပြဿနာရှိသော ပက်ကေ့ဂျ်များအနက် လူကြိုက်အများဆုံးမှာ “atlas-client” ဖြစ်ပြီး၊ ပထမတစ်ချက်မှာ တရား၀င်ပက်ကေ့ဂျ်နှင့် လက်တွေ့ကျကျ ခွဲခြား၍မရသော၊” . သတ်မှတ်ထားသော ပက်ကေ့ချ်ကို အကြိမ် 2100 ဒေါင်းလုဒ်လုပ်ခဲ့သည် (ပုံမှန်ပက်ကေ့ချ်ကို 6496 ကြိမ်ဒေါင်းလုဒ်လုပ်ထားသည်၊ ဆိုလိုသည်မှာ အသုံးပြုသူများသည် အမှုပေါင်း၏ 25% နီးပါးတွင် မှားယွင်းနေသည်)။ ကျန်ရှိသော ပက်ကေ့ဂျ်များကို ပျမ်းမျှ အကြိမ် 100-150 တွင် ဒေါင်းလုဒ်လုပ်ထားပြီး အောက်ခံအမှတ်များနှင့် ဒက်ရှ်များကို အစားထိုးသည့် အလားတူနည်းပညာကို အသုံးပြုကာ အခြားသော ပက်ကေ့ဂျ်များကဲ့သို့ ဖုံးကွယ်ထားသည် (ဥပမာ၊ : appium-lib၊ action-mailer_cache_delivery၊ activemodel_validators၊ asciidoctor_bibliography၊ assets-pipeline၊ apress_validators၊ ar_octopus-replication-tracking၊ aliyun-open_search၊ aliyun-mns၊ ab_split၊))။
အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်များတွင် ပုံတစ်ပုံအစား Windows ပလပ်ဖောင်းအတွက် လုပ်ဆောင်နိုင်သော ဖိုင်တစ်ခုပါရှိသော PNG ဖိုင်တစ်ခု ပါဝင်ပါသည်။ ဖိုင်ကို Ocra Ruby2Exe utility ကို အသုံးပြု၍ ထုတ်ပေးခဲ့ပြီး Ruby script နှင့် Ruby စကားပြန်ဖြင့် ကိုယ်တိုင်ထုတ်ယူသည့် မှတ်တမ်းတစ်ခု ပါဝင်သည်။ ပက်ကေ့ဂျ်ကို ထည့်သွင်းသောအခါတွင်၊ png ဖိုင်ကို exe သို့ အမည်ပြောင်းပြီး စတင်ခဲ့သည်။ လုပ်ဆောင်နေစဉ်အတွင်း VBScript ဖိုင်ကို ဖန်တီးပြီး autorun တွင် ထည့်သွင်းခဲ့သည်။ သတ်မှတ်ထားသော အန္တရာယ်ရှိသော VBScript သည် crypto wallet လိပ်စာများကို အမှတ်ရစေသည့် အချက်အလက်များ ရှိနေခြင်းအတွက် ကလစ်ဘုတ်၏ အကြောင်းအရာများကို ခွဲခြမ်းစိတ်ဖြာပြီး တွေ့ရှိပါက၊ အသုံးပြုသူသည် ကွဲပြားမှုများကို သတိမပြုမိစေရန် မျှော်လင့်ခြင်းဖြင့် ပိုက်ဆံအိတ်နံပါတ်ကို အစားထိုးပြီး မှားယွင်းသော ပိုက်ဆံအိတ်သို့ ရန်ပုံငွေများ လွှဲပေးပါသည်။ .
လူကြိုက်အများဆုံး repositories တစ်ခုသို့ အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်များ ပေါင်းထည့်ခြင်းကို အောင်မြင်ရန် မခက်ခဲကြောင်း လေ့လာမှုက ပြသခဲ့ပြီး၊ ဤပက်ကေ့ဂျ်များသည် သိသာထင်ရှားသော ဒေါင်းလုဒ်လုပ်မှု အများအပြားရှိသော်လည်း မတွေ့နိုင်ပါ။ ပြဿနာကို သတိပြုသင့်သည်။ RubyGems နှင့် အခြားသော လူကြိုက်များသော repositories များ ပါဝင်သည်။ ဥပမာ- မနှစ်က ဒီလိုပဲ သုတေသီ NPM repository တွင် စကားဝှက်များကိုခိုးယူရန် executable file တစ်ခုကိုဖွင့်သည့် အလားတူနည်းပညာကိုအသုံးပြုသည့် bb-builder ဟုခေါ်သော အန္တရာယ်ရှိသော အထုပ်တစ်ခုရှိသည်။ အရင်တုန်းကတော့ တံခါးပေါက်ရှိတယ်။ event-stream NPM ပက်ကေ့ချ်ပေါ်မူတည်၍ အန္တရာယ်ရှိသောကုဒ်ကို အကြိမ် 8 သန်းခန့် ဒေါင်းလုဒ်လုပ်ခဲ့သည်။ အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျများလည်း PyPI သိုလှောင်မှုတွင်။
source: opennet.ru