Podjetje ReversingLabs rezultati analize aplikacij v repozitoriju RubyGems. Običajno se typosquatting uporablja za distribucijo zlonamernih paketov, ki so zasnovani tako, da povzročijo, da se nepazljivi razvijalec pri iskanju zmoti ali ne opazi razlike. Študija je odkrila več kot 700 paketov z imeni, podobnimi priljubljenim paketom, vendar se razlikujejo v manjših podrobnostih, kot je zamenjava podobnih črk ali uporaba podčrtajev namesto pomišljajev.
V več kot 400 paketih so našli komponente, za katere obstaja sum, da izvajajo zlonamerne dejavnosti. Predvsem je bila notranja datoteka aaa.png, ki je vključevala izvršljivo kodo v formatu PE. Ti paketi so bili povezani z dvema računoma, prek katerih je bil RubyGems objavljen od 16. februarja do 25. februarja 2020 , ki so bile skupno prenesene približno 95 tisočkrat. Raziskovalci so obvestili upravo RubyGems in identificirani zlonamerni paketi so bili že odstranjeni iz skladišča.
Od identificiranih problematičnih paketov je bil najbolj priljubljen »atlas-client«, ki se na prvi pogled praktično ne razlikuje od legitimnega paketa »". Navedeni paket je bil prenesen 2100-krat (običajni paket je bil prenesen 6496-krat, tj. uporabniki so se zmotili v skoraj 25% primerov). Preostali paketi so bili v povprečju preneseni 100–150-krat in so bili zakamuflirani kot drugi paketi z uporabo podobne tehnike zamenjave podčrtajev in pomišljajev (na primer med : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Zlonamerni paketi so vsebovali datoteko PNG, ki je namesto slike vsebovala izvršljivo datoteko za platformo Windows. Datoteka je bila ustvarjena s pripomočkom Ocra Ruby2Exe in je vključevala samoraztegljiv arhiv s skriptom Ruby in tolmačem Ruby. Pri namestitvi paketa je bila datoteka png preimenovana v exe in zagnana. Med izvajanjem je bila ustvarjena datoteka VBScript in dodana v samodejni zagon. Navedeni zlonamerni VBScript je v zanki analiziral vsebino odložišča glede prisotnosti informacij, ki spominjajo na naslove kripto denarnice, in če je bil zaznan, zamenjal številko denarnice s pričakovanjem, da uporabnik ne bo opazil razlik in prenesel sredstev v napačno denarnico .
Študija je pokazala, da ni težko doseči dodajanja zlonamernih paketov v enega najbolj priljubljenih repozitorijev, ti paketi pa lahko ostanejo neodkriti, kljub velikemu številu prenosov. Treba je opozoriti, da je problem RubyGems in pokriva druge priljubljene repozitorije. Na primer, lani isti raziskovalci v repozitoriju NPM je zlonamerni paket, imenovan bb-builder, ki uporablja podobno tehniko zagona izvršljive datoteke za krajo gesel. Pred tem so bila stranska vrata odvisno od paketa NPM toka dogodkov je bila zlonamerna koda prenesena približno 8-milijonkrat. Tudi zlonamerni paketi v repozitoriju PyPI.
Vir: opennet.ru