Ширкати ReversingLabs натиҷаҳои таҳлили ариза дар анбори RubyGems. Одатан, typosquatting барои паҳн кардани бастаҳои зараровар истифода мешавад, то таҳиягари беэҳтиёт ба хатои хаттӣ роҳ диҳад ё ҳангоми ҷустуҷӯ фарқиятро пай набарад. Тадқиқот беш аз 700 бастаеро муайян кард, ки номашон ба бастаҳои маъмул монанд аст, аммо дар тафсилоти ночиз, аз қабили иваз кардани ҳарфҳои шабеҳ ё истифодаи зерхатҳо ба ҷои тире фарқ мекунанд.
Дар зиёда аз 400 баста ҷузъҳои гумонбар ба амалҳои зараровар пайдо шуданд. Аз ҷумла, файли дарун aaa.png буд, ки рамзи иҷрошавандаро дар формати PE дар бар мегирад. Ин бастаҳо бо ду ҳисоб алоқаманд буданд, ки тавассути онҳо RubyGems аз 16 феврал то 25 феврали соли 2020 интишор шудааст. , ки умуман кариб 95 хазор бор бор карда шудаанд. Муҳаққиқон ба маъмурияти RubyGems хабар доданд ва бастаҳои зараровар аллакай аз анбор хориҷ карда шудаанд.
Аз бастаҳои мушкили муайяншуда маъмултаринаш "атлас-муштарӣ" буд, ки дар назари аввал аз бастаи қонунӣ амалан фарқ намекунад.". Бастаи зикршуда 2100 маротиба бор карда шуд (бастаи муқаррарӣ 6496 маротиба бор карда шуд, яъне корбарон қариб дар 25% ҳолатҳо хато кардаанд). Бастаҳои боқимонда ба ҳисоби миёна 100-150 маротиба бор карда шуданд ва ҳамчун бастаҳои дигар бо истифода аз усули шабеҳи иваз кардани хатҳои зер ва тире (масалан, байни : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-пликатсия, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Бастаҳои зараровар файли PNG-ро дар бар мегирифтанд, ки дар он файли иҷрошаванда барои платформаи Windows ба ҷои тасвир мавҷуд буд. Файл бо истифода аз утилитаи Ocra Ruby2Exe тавлид шудааст ва дорои бойгонии худкор бо скрипти Ruby ва тарҷумони Ruby мебошад. Ҳангоми насб кардани баста, файли png ба exe иваз карда шуд ва оғоз ёфт. Ҳангоми иҷро файли VBScript сохта шуд ва ба autorun илова карда шуд. VBScript-и зараровар дар як ҳалқа мундариҷаи буферро барои мавҷудияти маълумоте, ки суроғаҳои ҳамёни криптографиро ба ёд меорад, таҳлил кард ва дар сурати ошкор шудан, рақами ҳамёнро бо интизори он иваз кард, ки корбар фарқиятҳоро пайхас намекунад ва маблағро ба ҳамёни нодуруст интиқол медиҳад. .
Тадқиқот нишон дод, ки ноил шудан ба иловаи бастаҳои зараровар ба яке аз маъмултарин анборҳо душвор нест ва ин бастаҳо сарфи назар аз шумораи зиёди зеркашиҳо метавонанд ошкор нашаванд. Бояд гуфт, ки проблема RubyGems ва дигар анборҳои маъмулро фаро мегирад. Масалан, соли гузашта худи хамин тадкикотчиён дар анбори NPM як бастаи зараровар бо номи bb-builder мавҷуд аст, ки як усули шабеҳи оғоз кардани файли иҷрошавандаро барои дуздидани паролҳо истифода мебарад. Пеш аз ин як дари пушти буд вобаста ба бастаи рӯйдодҳои NPM, рамзи зараровар тақрибан 8 миллион маротиба зеркашӣ карда шуд. Бастаҳои зараровар низ дар анбори PyPI.
Манбаъ: opennet.ru