రివర్సింగ్ల్యాబ్స్ కంపెనీ అప్లికేషన్ విశ్లేషణ ఫలితాలు రూబీజెమ్స్ రిపోజిటరీలో. సాధారణంగా, టైపోస్క్వాటింగ్ అనేది అజాగ్రత్త డెవలపర్ అక్షరదోషం చేసేలా లేదా శోధిస్తున్నప్పుడు తేడాను గుర్తించకుండా ఉండేలా రూపొందించిన హానికరమైన ప్యాకేజీలను పంపిణీ చేయడానికి ఉపయోగించబడుతుంది. జనాదరణ పొందిన ప్యాకేజీల మాదిరిగానే పేర్లతో 700 కంటే ఎక్కువ ప్యాకేజీలను అధ్యయనం గుర్తించింది, అయితే సారూప్య అక్షరాలను ప్రత్యామ్నాయం చేయడం లేదా డాష్లకు బదులుగా అండర్స్కోర్లను ఉపయోగించడం వంటి చిన్న వివరాలలో తేడా ఉంటుంది.
హానికరమైన కార్యకలాపాలు నిర్వహిస్తున్నట్లు అనుమానించబడిన భాగాలు 400 కంటే ఎక్కువ ప్యాకేజీలలో కనుగొనబడ్డాయి. ప్రత్యేకించి, లోపల ఉన్న ఫైల్ aaa.png, ఇందులో PE ఫార్మాట్లో ఎక్జిక్యూటబుల్ కోడ్ ఉంటుంది. ఈ ప్యాకేజీలు రూబీజెమ్స్ ఫిబ్రవరి 16 నుండి ఫిబ్రవరి 25, 2020 వరకు పోస్ట్ చేయబడిన రెండు ఖాతాలతో అనుబంధించబడ్డాయి , ఇది మొత్తం 95 వేల సార్లు డౌన్లోడ్ చేయబడింది. పరిశోధకులు రూబీజెమ్స్ పరిపాలనకు సమాచారం అందించారు మరియు గుర్తించిన హానికరమైన ప్యాకేజీలు ఇప్పటికే రిపోజిటరీ నుండి తీసివేయబడ్డాయి.
గుర్తించబడిన సమస్యాత్మక ప్యాకేజీలలో, అత్యంత జనాదరణ పొందినది “అట్లాస్-క్లయింట్”, ఇది మొదటి చూపులో చట్టబద్ధమైన ప్యాకేజీ నుండి ఆచరణాత్మకంగా వేరు చేయలేనిది “". పేర్కొన్న ప్యాకేజీ 2100 సార్లు డౌన్లోడ్ చేయబడింది (సాధారణ ప్యాకేజీ 6496 సార్లు డౌన్లోడ్ చేయబడింది, అనగా వినియోగదారులు దాదాపు 25% కేసులలో తప్పుగా ఉన్నారు). మిగిలిన ప్యాకేజీలు సగటున 100-150 సార్లు డౌన్లోడ్ చేయబడ్డాయి మరియు అండర్స్కోర్లు మరియు డాష్లను భర్తీ చేసే సారూప్య సాంకేతికతను ఉపయోగించి ఇతర ప్యాకేజీల వలె మభ్యపెట్టబడ్డాయి (ఉదాహరణకు, వాటిలో : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, Assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
హానికరమైన ప్యాకేజీలు ఇమేజ్కి బదులుగా Windows ప్లాట్ఫారమ్ కోసం ఎక్జిక్యూటబుల్ ఫైల్ను కలిగి ఉన్న PNG ఫైల్ను కలిగి ఉన్నాయి. ఫైల్ Ocra Ruby2Exe యుటిలిటీని ఉపయోగించి రూపొందించబడింది మరియు రూబీ స్క్రిప్ట్ మరియు రూబీ ఇంటర్ప్రెటర్తో స్వీయ-సంగ్రహణ ఆర్కైవ్ను కలిగి ఉంది. ప్యాకేజీని ఇన్స్టాల్ చేస్తున్నప్పుడు, png ఫైల్ పేరు exeగా మార్చబడింది మరియు ప్రారంభించబడింది. అమలు సమయంలో, VBScript ఫైల్ సృష్టించబడింది మరియు ఆటోరన్కు జోడించబడింది. లూప్లో పేర్కొన్న హానికరమైన VBScript క్రిప్టో వాలెట్ చిరునామాలను గుర్తుకు తెచ్చే సమాచారం కోసం క్లిప్బోర్డ్లోని కంటెంట్లను విశ్లేషించింది మరియు గుర్తించబడితే, వినియోగదారు వ్యత్యాసాలను గమనించి తప్పు వాలెట్కు నిధులను బదిలీ చేయకూడదనే అంచనాతో వాలెట్ నంబర్ను భర్తీ చేసింది. .
అత్యంత జనాదరణ పొందిన రిపోజిటరీలలో ఒకదానికి హానికరమైన ప్యాకేజీలను జోడించడం కష్టం కాదని అధ్యయనం చూపింది మరియు గణనీయమైన సంఖ్యలో డౌన్లోడ్లు ఉన్నప్పటికీ, ఈ ప్యాకేజీలు గుర్తించబడవు. సమస్య అని గమనించాలి రూబీజెమ్స్ మరియు ఇతర ప్రసిద్ధ రిపోజిటరీలను కవర్ చేస్తుంది. ఉదాహరణకు, గత సంవత్సరం అదే పరిశోధకులు NPM రిపోజిటరీలో bb-builder అని పిలువబడే ఒక హానికరమైన ప్యాకేజీ ఉంది, ఇది పాస్వర్డ్లను దొంగిలించడానికి ఎక్జిక్యూటబుల్ ఫైల్ను ప్రారంభించే సాంకేతికతను ఉపయోగిస్తుంది. దీనికి ముందు ఒక బ్యాక్డోర్ ఉండేది ఈవెంట్-స్ట్రీమ్ NPM ప్యాకేజీపై ఆధారపడి, హానికరమైన కోడ్ దాదాపు 8 మిలియన్ సార్లు డౌన్లోడ్ చేయబడింది. హానికరమైన ప్యాకేజీలు కూడా PyPI రిపోజిటరీలో.
మూలం: opennet.ru