ReversingLabs ਕੰਪਨੀ ਐਪਲੀਕੇਸ਼ਨ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਨਤੀਜੇ RubyGems ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ. ਆਮ ਤੌਰ 'ਤੇ, ਟਾਈਪੋਸਕੁਏਟਿੰਗ ਦੀ ਵਰਤੋਂ ਗਲਤ ਪੈਕੇਜਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਕਿਸੇ ਅਣਗਹਿਲੀ ਵਾਲੇ ਡਿਵੈਲਪਰ ਨੂੰ ਟਾਈਪੋ ਕਰਨ ਜਾਂ ਖੋਜ ਕਰਨ ਵੇਲੇ ਅੰਤਰ ਨੂੰ ਧਿਆਨ ਨਾ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਅਧਿਐਨ ਨੇ ਪ੍ਰਸਿੱਧ ਪੈਕੇਜਾਂ ਦੇ ਸਮਾਨ ਨਾਵਾਂ ਵਾਲੇ 700 ਤੋਂ ਵੱਧ ਪੈਕੇਜਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਪਰ ਮਾਮੂਲੀ ਵੇਰਵਿਆਂ ਵਿੱਚ ਭਿੰਨ, ਜਿਵੇਂ ਕਿ ਸਮਾਨ ਅੱਖਰਾਂ ਨੂੰ ਬਦਲਣਾ ਜਾਂ ਡੈਸ਼ਾਂ ਦੀ ਬਜਾਏ ਅੰਡਰਸਕੋਰ ਦੀ ਵਰਤੋਂ ਕਰਨਾ।
400 ਤੋਂ ਵੱਧ ਪੈਕੇਜਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਦੇ ਸ਼ੱਕੀ ਹਿੱਸੇ ਪਾਏ ਗਏ ਸਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਅੰਦਰ ਫਾਈਲ aaa.png ਸੀ, ਜਿਸ ਵਿੱਚ PE ਫਾਰਮੈਟ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਕੋਡ ਸ਼ਾਮਲ ਸੀ। ਇਹ ਪੈਕੇਜ ਦੋ ਖਾਤਿਆਂ ਨਾਲ ਜੁੜੇ ਹੋਏ ਸਨ ਜਿਨ੍ਹਾਂ ਰਾਹੀਂ RubyGems ਨੂੰ 16 ਫਰਵਰੀ ਤੋਂ 25 ਫਰਵਰੀ, 2020 ਤੱਕ ਪੋਸਟ ਕੀਤਾ ਗਿਆ ਸੀ। ਜਿਸ ਨੂੰ ਕੁੱਲ ਮਿਲਾ ਕੇ ਲਗਭਗ 95 ਹਜ਼ਾਰ ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ RubyGems ਪ੍ਰਸ਼ਾਸਨ ਨੂੰ ਸੂਚਿਤ ਕੀਤਾ ਅਤੇ ਪਛਾਣੇ ਗਏ ਖਤਰਨਾਕ ਪੈਕੇਜ ਪਹਿਲਾਂ ਹੀ ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ ਹਟਾ ਦਿੱਤੇ ਗਏ ਹਨ।
ਪਛਾਣੇ ਗਏ ਸਮੱਸਿਆ ਵਾਲੇ ਪੈਕੇਜਾਂ ਵਿੱਚੋਂ, ਸਭ ਤੋਂ ਪ੍ਰਸਿੱਧ "ਐਟਲਸ-ਕਲਾਇੰਟ" ਸੀ, ਜੋ ਪਹਿਲੀ ਨਜ਼ਰ ਵਿੱਚ ਜਾਇਜ਼ ਪੈਕੇਜ ਤੋਂ ਵੱਖਰਾ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ.". ਨਿਰਧਾਰਤ ਪੈਕੇਜ 2100 ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ (ਆਮ ਪੈਕੇਜ ਨੂੰ 6496 ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ, ਯਾਨੀ ਲਗਭਗ 25% ਮਾਮਲਿਆਂ ਵਿੱਚ ਉਪਭੋਗਤਾ ਗਲਤ ਸਨ)। ਬਾਕੀ ਬਚੇ ਪੈਕੇਜ ਔਸਤਨ 100-150 ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤੇ ਗਏ ਸਨ ਅਤੇ ਅੰਡਰਸਕੋਰ ਅਤੇ ਡੈਸ਼ਾਂ ਨੂੰ ਬਦਲਣ ਦੀ ਇੱਕ ਸਮਾਨ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੂਜੇ ਪੈਕੇਜਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਛੁਪਿਆ ਹੋਇਆ ਸੀ (ਉਦਾਹਰਨ ਲਈ, ਵਿਚਕਾਰ : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite)।
ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਵਿੱਚ ਇੱਕ PNG ਫਾਈਲ ਸ਼ਾਮਲ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਚਿੱਤਰ ਦੀ ਬਜਾਏ ਵਿੰਡੋਜ਼ ਪਲੇਟਫਾਰਮ ਲਈ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਸ਼ਾਮਲ ਹੈ। ਫਾਈਲ ਨੂੰ Ocra Ruby2Exe ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਇਸ ਵਿੱਚ ਇੱਕ ਰੂਬੀ ਸਕ੍ਰਿਪਟ ਅਤੇ ਰੂਬੀ ਦੁਭਾਸ਼ੀਏ ਦੇ ਨਾਲ ਇੱਕ ਸਵੈ-ਐਕਸਟਰੈਕਟਿੰਗ ਆਰਕਾਈਵ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਸੀ। ਪੈਕੇਜ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਸਮੇਂ, png ਫਾਈਲ ਦਾ ਨਾਮ ਬਦਲ ਕੇ exe ਰੱਖਿਆ ਗਿਆ ਸੀ ਅਤੇ ਲਾਂਚ ਕੀਤਾ ਗਿਆ ਸੀ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੌਰਾਨ, ਇੱਕ VBScript ਫਾਈਲ ਬਣਾਈ ਗਈ ਸੀ ਅਤੇ ਆਟੋਰਨ ਵਿੱਚ ਜੋੜੀ ਗਈ ਸੀ। ਇੱਕ ਲੂਪ ਵਿੱਚ ਨਿਸ਼ਚਿਤ ਖਤਰਨਾਕ VBScript ਨੇ ਕ੍ਰਿਪਟੋ ਵਾਲਿਟ ਪਤਿਆਂ ਦੀ ਯਾਦ ਦਿਵਾਉਂਦੀ ਜਾਣਕਾਰੀ ਦੀ ਮੌਜੂਦਗੀ ਲਈ ਕਲਿੱਪਬੋਰਡ ਦੀ ਸਮੱਗਰੀ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ, ਅਤੇ ਜੇਕਰ ਖੋਜਿਆ ਗਿਆ, ਤਾਂ ਵਾਲਿਟ ਨੰਬਰ ਨੂੰ ਇਸ ਉਮੀਦ ਨਾਲ ਬਦਲ ਦਿੱਤਾ ਗਿਆ ਕਿ ਉਪਭੋਗਤਾ ਫਰਕ ਨਹੀਂ ਦੇਖੇਗਾ ਅਤੇ ਗਲਤ ਵਾਲਿਟ ਵਿੱਚ ਫੰਡ ਟ੍ਰਾਂਸਫਰ ਕਰੇਗਾ। .
ਅਧਿਐਨ ਨੇ ਦਿਖਾਇਆ ਹੈ ਕਿ ਸਭ ਤੋਂ ਪ੍ਰਸਿੱਧ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਜੋੜਨਾ ਮੁਸ਼ਕਲ ਨਹੀਂ ਹੈ, ਅਤੇ ਇਹ ਪੈਕੇਜ ਬਹੁਤ ਸਾਰੀਆਂ ਡਾਊਨਲੋਡਾਂ ਦੇ ਬਾਵਜੂਦ ਅਣਪਛਾਤੇ ਰਹਿ ਸਕਦੇ ਹਨ। ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਸਮੱਸਿਆ RubyGems ਅਤੇ ਹੋਰ ਪ੍ਰਸਿੱਧ ਰਿਪੋਜ਼ਟਰੀਆਂ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਪਿਛਲੇ ਸਾਲ ਉਸੇ ਖੋਜਕਾਰ NPM ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ ਪੈਕੇਜ ਹੈ ਜਿਸਨੂੰ bb-builder ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਪਾਸਵਰਡ ਚੋਰੀ ਕਰਨ ਲਈ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਲਾਂਚ ਕਰਨ ਦੀ ਸਮਾਨ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਬੈਕਡੋਰ ਸੀ ਈਵੈਂਟ-ਸਟ੍ਰੀਮ NPM ਪੈਕੇਜ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ, ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਲਗਭਗ 8 ਮਿਲੀਅਨ ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ। ਖ਼ਰਾਬ ਪੈਕੇਜ ਵੀ PyPI ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ।
ਸਰੋਤ: opennet.ru