Perusahaan ReversingLabs hasil analisis aplikasi dina gudang RubyGems. Ilaharna, typesquatting dipaké pikeun ngadistribusikaeun bungkusan jahat anu diitung ngabalukarkeun pamekar inattentive nyieun typo atawa teu aya bewara bédana nalika néangan. Panaliti ngaidentipikasi langkung ti 700 bungkusan anu namina sami sareng bungkusan populér sareng béda dina detil leutik, sapertos ngagentos hurup anu sami atanapi nganggo garis handap tibatan tanda hubung.
Dina leuwih ti 400 bungkusan, komponén disangka committing kagiatan jahat kapanggih. Khususna, di jero aya file aaa.png, anu kalebet kode anu tiasa dieksekusi dina format PE. Paket ieu dikaitkeun sareng dua akun dimana, ti 16 Pebruari dugi ka 25 Pebruari 2020, RubyGems di-host. , anu jumlahna diunduh sakitar 95 rébu kali. Panaliti ngawartosan administrasi RubyGems sareng bungkusan jahat anu diidentifikasi parantos dipiceun tina gudang.
Tina pakét masalah anu diidentifikasi, anu paling populér nyaéta "atlas-client", anu dina pandangan kahiji ampir teu tiasa dibédakeun tina pakét anu sah "". Paket anu ditangtukeun diunduh 2100 kali (pakét normal diunduh 6496 kali, nyaéta pangguna anu salah dina ampir 25% kasus). Bungkusan sésana diunduh 100-150 kali rata-rata sareng disamarankeun salaku bungkusan sanés nganggo téknik ngagaris handap sareng téknik ngagantian dash (contona, diantara : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-sopan).
Bungkusan jahat kalebet file PNG anu ngandung file anu tiasa dieksekusi pikeun platform Windows tinimbang gambar. Berkas ieu dibangkitkeun nganggo utilitas Ocra Ruby2Exe sareng kalebet arsip ékstraksi diri kalayan naskah Ruby sareng juru Ruby. Nalika masang pakét, file png diganti nami janten exe sareng diluncurkeun. Salila palaksanaan, file kalawan VBScript dijieun tur ditambahkeun kana autorun. VBScript jahat anu ditangtukeun dina loop anu dianalisis eusi clipboard pikeun inpormasi anu mirip alamat dompét crypto, sareng upami dideteksi, ngagentos nomer dompét kalayan harepan yén pangguna henteu bakal perhatikeun bédana sareng nransferkeun dana kana dompét anu salah.
Panalitian anu dilakukeun nunjukkeun yén henteu sesah pikeun ngahontal tambihan bungkusan jahat ka salah sahiji repositori anu pang populerna sareng pakét ieu tiasa ditingali, sanaos jumlah unduhan anu signifikan. Ieu kudu dicatet yén masalah RubyGems jeung némpél dina repositories populér séjén. Contona, taun ka tukang peneliti sarua dina Repository NPM, bungkusan bb-pembina jahat anu ngagunakeun téknik sarupa pikeun ngajalankeun hiji laksana pikeun maok kecap akses. Sateuacan éta, panto tukang gumantung kana pakét NPM-aliran acara sareng kode jahat diunduh sakitar 8 juta kali. Bungkusan jahat ogé dina gudang PyPI.
sumber: opennet.ru