ReversingLabs ڪمپني ايپليڪيشن تجزيو جا نتيجا RubyGems مخزن ۾. عام طور تي، typosquatting بدسلوڪي پيڪيجز کي ورهائڻ لاءِ استعمال ڪيو ويندو آهي ته جيئن هڪ اڻڄاڻ ڊولپر کي ٽائپو ڪرڻ جو سبب بڻائين يا ڳولڻ دوران فرق محسوس نه ٿئي. مطالعي 700 کان وڌيڪ پيڪيجز جي نشاندهي ڪئي جن جي نالن سان مشهور پيڪيجز سان ملندڙ جلندڙ آهن پر معمولي تفصيلن ۾ مختلف آهن، جهڙوڪ ساڳيا اکر کي متبادل ڪرڻ يا ڊش جي بدران انڊر اسڪور استعمال ڪندي.
400 کان وڌيڪ پيڪيجز ۾ بدسلوڪي سرگرميون انجام ڏيڻ جي شڪ ۾ اجزاء مليا ويا. خاص طور تي، فائل اندر هئي aaa.png، جنهن ۾ PE فارميٽ ۾ قابل عمل ڪوڊ شامل هو. اهي پيڪيجز ٻن اڪائونٽن سان لاڳاپيل هئا جن ذريعي RubyGems 16 فيبروري کان 25 فيبروري 2020 تائين پوسٽ ڪيو ويو جنهن کي مجموعي طور تي 95 هزار ڀيرا ڊائون لوڊ ڪيو ويو. محقق روبي گيمز انتظاميه کي ٻڌايو ۽ سڃاڻپ ٿيل خراب پيڪيجز اڳ ۾ ئي مخزن مان هٽايو ويو آهي.
مشڪلاتي پيڪيجز جي نشاندهي ڪئي وئي، سڀ کان وڌيڪ مشهور "اٽلس-ڪلائنٽ" هو، جيڪو پهرين نظر ۾ عملي طور تي جائز پيڪيج کان الڳ نه آهي.". بيان ڪيل پيڪيج 2100 ڀيرا ڊائون لوڊ ڪيو ويو (عام پيڪيج 6496 ڀيرا ڊائون لوڊ ڪيو ويو، يعني صارفين تقريبن 25٪ ڪيسن ۾ غلط هئا). باقي پيڪيجز سراسري طور تي 100-150 ڀيرا ڊائون لوڊ ڪيا ويا ۽ انڊر اسڪور ۽ ڊيشز کي تبديل ڪرڻ جي ساڳي ٽيڪنڪ استعمال ڪندي ٻين پيڪيجز وانگر ڇڪايو ويو (مثال طور، وچ ۾ : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
بدسلوڪي پيڪيجز ۾ هڪ PNG فائل شامل آهي جنهن ۾ تصوير جي بدران ونڊوز پليٽ فارم لاءِ هڪ قابل عمل فائل شامل آهي. فائل Ocra Ruby2Exe استعمال ڪندي ٺاهي وئي ۽ روبي اسڪرپٽ ۽ روبي مترجم سان گڏ پاڻ کي ڪڍڻ وارو آرڪائيو شامل ڪيو ويو. پيڪيج کي انسٽال ڪرڻ وقت، png فائل جو نالو مٽايو ويو exe ۽ لانچ ڪيو ويو. عمل جي دوران، هڪ VBScript فائل ٺاهي وئي ۽ خودڪار ۾ شامل ڪئي وئي. مخصوص خراب VBScript هڪ لوپ ۾ ڪلپ بورڊ جي مواد جو تجزيو ڪيو معلومات جي موجودگي لاءِ crypto والٽ ايڊريس جي ياد ڏياري، ۽ جيڪڏهن معلوم ڪيو ويو ته، والٽ نمبر کي ان اميد سان تبديل ڪيو ته صارف اختلافن کي محسوس نه ڪندو ۽ غلط والٽ ڏانهن فنڊ منتقل ڪندو. .
مطالعي مان معلوم ٿئي ٿو ته بدسلوڪي پيڪيجز جي اضافي کي حاصل ڪرڻ ڏکيو نه آهي سڀ کان وڌيڪ مشهور ذخيرن مان، ۽ اهي پيڪيجز اڻڄاتل رهي سگهن ٿيون، وڏي تعداد ۾ ڊائون لوڊ جي باوجود. اهو نوٽ ڪرڻ گهرجي ته مسئلو RubyGems ۽ ٻين مشهور مخزنن جو احاطو. مثال طور، گذريل سال ساڳئي محقق NPM مخزن ۾ bb-builder نالي هڪ خراب پيڪيج آهي، جيڪو پاسورڊ چوري ڪرڻ لاءِ ايگزيڪيوٽو فائل لانچ ڪرڻ جي ساڳي ٽيڪنڪ استعمال ڪري ٿو. ان کان اڳ هڪ پٺاڻ هو ايونٽ اسٽريم NPM پيڪيج تي منحصر ڪري، بدسلوڪي ڪوڊ اٽڪل 8 ملين ڀيرا ڊائون لوڊ ڪيو ويو. خراب پيڪيجز پڻ PyPI مخزن ۾.
جو ذريعو: opennet.ru