ReversingLabs Company applikasjonsanalyseresultater i RubyGems-depotet. Typisk brukes skrivefeil til å distribuere ondsinnede pakker designet for å få en uoppmerksom utvikler til å skrive feil eller ikke merke forskjellen når han søker. Studien identifiserte mer enn 700 pakker med navn som ligner på populære pakker, men som avviker i mindre detaljer, for eksempel å erstatte lignende bokstaver eller bruke understrek i stedet for bindestreker.
Komponenter mistenkt for å utføre ondsinnede aktiviteter ble funnet i mer enn 400 pakker. Spesielt var filen inni aaa.png, som inkluderte kjørbar kode i PE-format. Disse pakkene var knyttet til to kontoer som RubyGems ble postet gjennom fra 16. februar til 25. februar 2020 , som totalt ble lastet ned omtrent 95 tusen ganger. Forskerne informerte RubyGems-administrasjonen og de identifiserte skadelige pakkene er allerede fjernet fra depotet.
Av de identifiserte problematiske pakkene var den mest populære "atlas-klient", som ved første øyekast praktisk talt ikke kan skilles fra den legitime pakken "". Den angitte pakken ble lastet ned 2100 ganger (den normale pakken ble lastet ned 6496 ganger, dvs. brukere tok feil i nesten 25 % av tilfellene). De resterende pakkene ble lastet ned i gjennomsnitt 100-150 ganger og ble kamuflert som andre pakker ved å bruke en lignende teknikk for å erstatte understreker og bindestreker (f.eks. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
De skadelige pakkene inkluderte en PNG-fil som inneholdt en kjørbar fil for plattformen i stedet for et bilde. WindowsFilen ble generert ved hjelp av Ocra Ruby2Exe-verktøyet og inkluderte et selvutpakkende arkiv med et Ruby-skript og en Ruby-tolk. Da pakken ble installert, ble png-filen omdøpt til .exe og startet. Under kjøringen ble en VBScript-fil opprettet og lagt til i oppstarten. Denne ondsinnede VBScript-filen gikk gjennom utklippstavlen for informasjon som lignet på kryptolommebokadresser. Hvis noen ble oppdaget, erstattet den lommeboknummeret i håp om at brukeren ville overse forskjellen og overføre penger til feil lommebok.
Studien viste at det ikke er vanskelig å legge til skadelige pakker til et av de mest populære depotene, og disse pakkene kan forbli uoppdaget, til tross for et betydelig antall nedlastinger. Det skal bemerkes at problemet RubyGems og dekker andre populære depoter. For eksempel i fjor de samme forskerne i NPM-depotet er det en ondsinnet pakke kalt bb-builder, som bruker en lignende teknikk for å starte en kjørbar fil for å stjele passord. Før dette var det en bakdør avhengig av event-stream NPM-pakken, ble den skadelige koden lastet ned omtrent 8 millioner ganger. Skadelige pakker også i PyPI-depotet.
Kilde: opennet.ru
