Компанија РеверсингЛабс резултати анализе примене у РубиГемс спремишту. Типично, куцање се користи за дистрибуцију злонамерних пакета дизајнираних да наведу непажљивог програмера да направи грешку у куцању или да не примети разлику приликом претраживања. Студија је идентификовала више од 700 пакета са именима сличним популарним пакетима, али се разликују у мањим детаљима, као што су замена сличних слова или коришћење доњих црта уместо цртица.
Компоненте за које се сумња да врше злонамерне активности пронађене су у више од 400 пакета. Конкретно, унутрашња датотека је била ааа.пнг, која је укључивала извршни код у ПЕ формату. Ови пакети су били повезани са два налога преко којих је РубиГемс постављен од 16. до 25. фебруара 2020. , који су укупно преузети око 95 хиљада пута. Истраживачи су обавестили администрацију РубиГемса и идентификовани злонамерни пакети су већ уклоњени из спремишта.
Од идентификованих проблематичних пакета, најпопуларнији је био „атлас-клијент“, који се на први поглед практично не разликује од легитимног пакета „„. Наведени пакет је преузет 2100 пута (нормалан пакет је преузет 6496 пута, тј. корисници су погрешили у скоро 25% случајева). Преостали пакети су преузимани у просеку 100-150 пута и камуфлирани као други пакети користећи сличну технику замене доњих црта и цртица (на пример, међу : аппиум-либ, ацтион-маилер_цацхе_деливери, ацтивемодел_валидаторс, асциидоцтор_библиограпхи, ассетс-пипелине, апресс_валидаторс, ар_оцтопус-реплицатион-трацкинг, алииун-опен_сеарцх, алииун-мнс, аб_сплит, апнс-пристојан).
Злонамерни пакети су укључивали ПНГ датотеку која је уместо слике садржала извршну датотеку за Виндовс платформу. Датотека је генерисана коришћењем услужног програма Оцра Руби2Еке и укључивала је самораспакујућу архиву са Руби скриптом и Руби интерпретатором. Приликом инсталирања пакета, пнг датотека је преименована у еке и покренута. Током извршавања, ВБСцрипт датотека је креирана и додата у аутоматско покретање. Наведени злонамерни ВБСцрипт је у петљи анализирао садржај међуспремника на присуство информација које подсећају на адресе крипто новчаника, и ако је откривен, заменио је број новчаника са очекивањем да корисник неће приметити разлике и пребацити средства у погрешан новчаник .
Студија је показала да није тешко постићи додавање злонамерних пакета у једно од најпопуларнијих спремишта, а ови пакети могу остати неоткривени, упркос значајном броју преузимања. Треба напоменути да је проблем РубиГемс и покрива друга популарна спремишта. На пример, прошле године исти истраживачи у НПМ репозиторијуму постоји малициозни пакет који се зове бб-буилдер, који користи сличну технику покретања извршне датотеке за крађу лозинки. Пре овога је постојала задња врата у зависности од НПМ пакета за ток догађаја, злонамерни код је преузет око 8 милиона пута. Злонамерни пакети такође у ПиПИ спремишту.
Извор: опеннет.ру