Kompania ReversingLabs rezultatet e analizës së aplikimit në depon e RubyGems. Në mënyrë tipike, typosquatting përdoret për të shpërndarë paketa me qëllim të keq të krijuara për të bërë që një zhvillues i pavëmendshëm të bëjë një gabim shkrimi ose të mos vërejë ndryshimin kur kërkon. Studimi identifikoi më shumë se 700 pako me emra të ngjashëm me paketat e njohura, por që ndryshojnë në detaje të vogla, të tilla si zëvendësimi i shkronjave të ngjashme ose përdorimi i nënvizave në vend të vizave.
Në më shumë se 400 pako u gjetën komponentë të dyshuar për kryerjen e veprimtarive keqdashëse. Në veçanti, skedari brenda ishte aaa.png, i cili përfshinte kodin e ekzekutueshëm në formatin PE. Këto pako ishin të lidhura me dy llogari përmes të cilave RubyGems u postua nga 16 shkurt deri më 25 shkurt 2020 , të cilat në total janë shkarkuar rreth 95 mijë herë. Studiuesit informuan administratën e RubyGems dhe paketat e identifikuara me qëllim të keq tashmë janë hequr nga depoja.
Nga paketat problematike të identifikuara, më e popullarizuara ishte “atlas-client”, e cila në shikim të parë praktikisht nuk dallohet nga paketa legjitime.". Paketa e specifikuar është shkarkuar 2100 herë (paketa normale është shkarkuar 6496 herë, d.m.th. përdoruesit kanë gabuar në pothuajse 25% të rasteve). Paketat e mbetura u shkarkuan mesatarisht 100-150 herë dhe u maskuan si paketa të tjera duke përdorur një teknikë të ngjashme të zëvendësimit të nënvizave dhe vizave (për shembull, midis : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Paketat me qëllim të keq përfshinin një skedar PNG që përmbante një skedar të ekzekutueshëm për platformën Windows në vend të një imazhi. Skedari u krijua duke përdorur programin Ocra Ruby2Exe dhe përfshinte një arkiv vetë-ekstraktues me një skenar Ruby dhe interpretues Ruby. Kur instaloni paketën, skedari png u riemërua në exe dhe u nis. Gjatë ekzekutimit, një skedar VBScript u krijua dhe u shtua në autorun. VBScript me qëllim të keq të specifikuar në një lak analizoi përmbajtjen e clipboard për praninë e informacionit që kujton adresat e portofolit kripto, dhe nëse zbulohej, zëvendësoi numrin e portofolit me shpresën që përdoruesi të mos vinte re ndryshimet dhe të transferonte fonde në portofolin e gabuar. .
Studimi tregoi se nuk është e vështirë të shtohen paketa me qëllim të keq në një nga magazinat më të njohura dhe këto paketa mund të mbeten të pazbuluara, pavarësisht një numri të konsiderueshëm shkarkimesh. Duhet theksuar se problemi RubyGems dhe mbulon depo të tjera të njohura. Për shembull, vitin e kaluar të njëjtët studiues në depon e NPM ekziston një paketë me qëllim të keq të quajtur bb-builder, e cila përdor një teknikë të ngjashme të nisjes së një skedari të ekzekutueshëm për të vjedhur fjalëkalimet. Para kësaj kishte një derë të pasme në varësi të paketës NPM të transmetimit të ngjarjeve, kodi me qëllim të keq u shkarkua rreth 8 milion herë. Paketat me qëllim të keq gjithashtu në depon e PyPI.
Burimi: opennet.ru