Spoločnosť ReversingLabs výsledky aplikačnej analýzy v úložisku RubyGems. Typosquatting sa zvyčajne používa na distribúciu škodlivých balíkov navrhnutých tak, aby spôsobili, že nepozorný vývojár urobí preklep alebo si nevšimne rozdiel pri vyhľadávaní. Štúdia identifikovala viac ako 700 balíkov s názvami podobnými populárnym balíkom, ktoré sa však líšia v drobných detailoch, ako je nahradenie podobných písmen alebo použitie podčiarkovníkov namiesto pomlčiek.
Komponenty podozrivé z vykonávania škodlivých aktivít sa našli vo viac ako 400 balíkoch. Najmä súbor vo vnútri bol aaa.png, ktorý obsahoval spustiteľný kód vo formáte PE. Tieto balíčky boli spojené s dvoma účtami, prostredníctvom ktorých boli RubyGems odoslané od 16. februára do 25. februára 2020 , ktoré boli celkovo stiahnuté asi 95 tisíc krát. Vedci informovali administratívu RubyGems a identifikované škodlivé balíčky už boli z úložiska odstránené.
Z identifikovaných problematických balíkov bol najobľúbenejší „atlas-client“, ktorý je na prvý pohľad prakticky nerozoznateľný od legitímneho balíka „". Uvedený balík bol stiahnutý 2100-krát (normálny balík bol stiahnutý 6496-krát, t. j. používatelia sa mýlili v takmer 25 % prípadov). Zvyšné balíčky boli stiahnuté v priemere 100-150-krát a boli maskované ako ostatné balíčky pomocou podobnej techniky nahradenia podčiarkovníkov a pomlčiek (napr. : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Škodlivé balíky obsahovali súbor PNG, ktorý namiesto obrázka obsahoval spustiteľný súbor pre platformu Windows. Súbor bol vygenerovaný pomocou nástroja Ocra Ruby2Exe a obsahoval samorozbaľovací archív so skriptom Ruby a interpretom Ruby. Pri inštalácii balíka bol súbor png premenovaný na exe a spustený. Počas vykonávania bol vytvorený súbor VBScript a pridaný do automatického spustenia. Špecifikovaný škodlivý VBScript v slučke analyzoval obsah schránky na prítomnosť informácií pripomínajúcich adresy kryptopeňaženky a v prípade zistenia nahradil číslo peňaženky s očakávaním, že si používateľ nevšimne rozdiely a prevedie prostriedky do nesprávnej peňaženky. .
Štúdia ukázala, že nie je ťažké dosiahnuť pridanie škodlivých balíčkov do jedného z najpopulárnejších úložísk a tieto balíčky môžu zostať neodhalené napriek značnému počtu stiahnutí. Treba poznamenať, že problém RubyGems a pokrýva ďalšie populárne úložiská. Napríklad minulý rok tí istí výskumníci v úložisku NPM sa nachádza škodlivý balík s názvom bb-builder, ktorý používa podobnú techniku spúšťania spustiteľného súboru na krádež hesiel. Predtým tu boli zadné vrátka v závislosti od balíka event-stream NPM bol škodlivý kód stiahnutý asi 8 miliónov krát. Škodlivé balíčky tiež v úložisku PyPI.
Zdroj: opennet.ru