ரிவர்சிங் லேப்ஸ் நிறுவனம் பயன்பாட்டு பகுப்பாய்வு முடிவுகள் ரூபிஜெம்ஸ் களஞ்சியத்தில். பொதுவாக, typosquatting என்பது ஒரு கவனக்குறைவான டெவலப்பர் எழுத்துப்பிழையை உண்டாக்க அல்லது தேடும் போது வித்தியாசத்தை கவனிக்காத வகையில் வடிவமைக்கப்பட்ட தீங்கிழைக்கும் தொகுப்புகளை விநியோகிக்க பயன்படுகிறது. பிரபலமான தொகுப்புகளைப் போன்ற பெயர்களைக் கொண்ட 700 க்கும் மேற்பட்ட தொகுப்புகளை ஆய்வு அடையாளம் கண்டுள்ளது, ஆனால் ஒரே மாதிரியான எழுத்துக்களை மாற்றுவது அல்லது கோடுகளுக்குப் பதிலாக அடிக்கோடிட்டுகளைப் பயன்படுத்துவது போன்ற சிறிய விவரங்களில் வேறுபடுகிறது.
400க்கும் மேற்பட்ட தொகுப்புகளில் தீங்கிழைக்கும் செயல்களைச் செய்வதாக சந்தேகிக்கப்படும் கூறுகள் கண்டறியப்பட்டுள்ளன. குறிப்பாக, உள்ளே இருக்கும் கோப்பு aaa.png ஆகும், இதில் PE வடிவத்தில் இயங்கக்கூடிய குறியீடு உள்ளது. ரூபிஜெம்ஸ் பிப்ரவரி 16 முதல் பிப்ரவரி 25, 2020 வரை வெளியிடப்பட்ட இரண்டு கணக்குகளுடன் இந்தத் தொகுப்புகள் இணைக்கப்பட்டுள்ளன. , இது மொத்தம் 95 ஆயிரம் முறை பதிவிறக்கம் செய்யப்பட்டது. ஆராய்ச்சியாளர்கள் ரூபிஜெம்ஸ் நிர்வாகத்திற்கு தகவல் தெரிவித்தனர் மற்றும் அடையாளம் காணப்பட்ட தீங்கிழைக்கும் தொகுப்புகள் ஏற்கனவே களஞ்சியத்தில் இருந்து அகற்றப்பட்டுள்ளன.
அடையாளம் காணப்பட்ட சிக்கலான தொகுப்புகளில், மிகவும் பிரபலமானது "அட்லஸ்-கிளையன்ட்" ஆகும், இது முதல் பார்வையில் முறையான தொகுப்பிலிருந்து நடைமுறையில் பிரித்தறிய முடியாதது "". குறிப்பிடப்பட்ட தொகுப்பு 2100 முறை பதிவிறக்கம் செய்யப்பட்டது (சாதாரண தொகுப்பு 6496 முறை பதிவிறக்கம் செய்யப்பட்டது, அதாவது பயனர்கள் கிட்டத்தட்ட 25% வழக்குகளில் தவறாக இருந்தனர்). மீதமுள்ள தொகுப்புகள் சராசரியாக 100-150 முறை பதிவிறக்கம் செய்யப்பட்டன மற்றும் அடிக்கோடுகள் மற்றும் கோடுகளை மாற்றும் அதே நுட்பத்தைப் பயன்படுத்தி மற்ற தொகுப்புகளாக உருமறைக்கப்பட்டன (உதாரணமாக, மத்தியில் : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, Assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
தீங்கிழைக்கும் தொகுப்புகளில் ஒரு படத்திற்குப் பதிலாக விண்டோஸ் இயங்குதளத்திற்கான இயங்கக்கூடிய கோப்பைக் கொண்ட PNG கோப்பு உள்ளது. இந்த கோப்பு Ocra Ruby2Exe பயன்பாட்டைப் பயன்படுத்தி உருவாக்கப்பட்டது மற்றும் ரூபி ஸ்கிரிப்ட் மற்றும் ரூபி மொழிபெயர்ப்பாளருடன் சுயமாக பிரித்தெடுக்கும் காப்பகத்தை உள்ளடக்கியது. தொகுப்பை நிறுவும் போது, png கோப்பு exe என மறுபெயரிடப்பட்டு தொடங்கப்பட்டது. செயல்படுத்தும் போது, ஒரு VBScript கோப்பு உருவாக்கப்பட்டு, autorun இல் சேர்க்கப்பட்டது. லூப்பில் குறிப்பிடப்பட்ட தீங்கிழைக்கும் VBScript ஆனது, கிரிப்டோ வாலட் முகவரிகளை நினைவூட்டும் தகவல்களின் இருப்புக்காக கிளிப்போர்டின் உள்ளடக்கங்களை பகுப்பாய்வு செய்தது, மேலும் கண்டறியப்பட்டால், பயனர் வேறுபாடுகளை கவனிக்க மாட்டார் என்ற எதிர்பார்ப்புடன் பணப்பை எண்ணை மாற்றியது மற்றும் தவறான பணப்பைக்கு நிதியை மாற்றும். .
மிகவும் பிரபலமான களஞ்சியங்களில் ஒன்றில் தீங்கிழைக்கும் தொகுப்புகளைச் சேர்ப்பது கடினம் அல்ல என்றும், கணிசமான எண்ணிக்கையிலான பதிவிறக்கங்கள் இருந்தபோதிலும், இந்தத் தொகுப்புகள் கண்டறியப்படாமல் இருக்கும் என்றும் ஆய்வு காட்டுகிறது. பிரச்சனை என்பதை கவனத்தில் கொள்ள வேண்டும் ரூபிஜெம்ஸ் மற்றும் பிற பிரபலமான களஞ்சியங்களை உள்ளடக்கியது. உதாரணமாக, கடந்த ஆண்டு அதே ஆராய்ச்சியாளர்கள் NPM களஞ்சியத்தில் bb-builder எனப்படும் தீங்கிழைக்கும் தொகுப்பு உள்ளது, இது கடவுச்சொற்களைத் திருட ஒரு இயங்கக்கூடிய கோப்பைத் தொடங்கும் இதேபோன்ற நுட்பத்தைப் பயன்படுத்துகிறது. இதற்கு முன் ஒரு பின்கதவு இருந்தது நிகழ்வு-ஸ்ட்ரீம் NPM தொகுப்பைப் பொறுத்து, தீங்கிழைக்கும் குறியீடு சுமார் 8 மில்லியன் முறை பதிவிறக்கம் செய்யப்பட்டது. தீங்கிழைக்கும் தொகுப்புகளும் PyPI களஞ்சியத்தில்.
ஆதாரம்: opennet.ru