บริษัท รีเวอร์สซิ่งแล็บส์ ผลการวิเคราะห์การใช้งาน ในพื้นที่เก็บข้อมูล RubyGems โดยทั่วไปแล้ว การพิมพ์ผิดจะใช้ในการแจกจ่ายแพ็คเกจที่เป็นอันตรายซึ่งออกแบบมาเพื่อให้นักพัฒนาที่ไม่ตั้งใจพิมพ์ผิดหรือไม่สังเกตเห็นความแตกต่างเมื่อทำการค้นหา การศึกษาระบุพัสดุมากกว่า 700 ชิ้นที่มีชื่อคล้ายกับพัสดุยอดนิยม แต่มีรายละเอียดปลีกย่อยแตกต่างกัน เช่น การแทนที่ตัวอักษรที่คล้ายกัน หรือใช้ขีดล่างแทนขีดกลาง
พบส่วนประกอบที่ต้องสงสัยว่าทำกิจกรรมที่เป็นอันตรายในแพ็คเกจมากกว่า 400 รายการ โดยเฉพาะอย่างยิ่งไฟล์ที่อยู่ภายในคือ aaa.png ซึ่งรวมถึงโค้ดที่ปฏิบัติการได้ในรูปแบบ PE แพ็คเกจเหล่านี้เชื่อมโยงกับสองบัญชีที่ RubyGems โพสต์ตั้งแต่วันที่ 16 กุมภาพันธ์ถึง 25 กุมภาพันธ์ 2020 ซึ่งมีการดาวน์โหลดทั้งหมดประมาณ 95 ครั้ง นักวิจัยแจ้งฝ่ายบริหาร RubyGems และแพ็กเกจที่เป็นอันตรายที่ระบุได้ถูกลบออกจากที่เก็บแล้ว
จากแพ็คเกจที่มีปัญหาที่ระบุ แพ็คเกจที่ได้รับความนิยมมากที่สุดคือ “atlas-client” ซึ่งเมื่อมองแวบแรกแทบจะแยกไม่ออกจากแพ็คเกจที่ถูกต้องตามกฎหมาย”". ดาวน์โหลดแพ็คเกจที่ระบุ 2100 ครั้ง (แพ็คเกจปกติดาวน์โหลด 6496 ครั้ง กล่าวคือ ผู้ใช้ผิดเกือบ 25% ของกรณี) แพ็คเกจที่เหลือถูกดาวน์โหลดโดยเฉลี่ย 100-150 ครั้ง และถูกพรางเป็นแพ็คเกจอื่นโดยใช้เทคนิคที่คล้ายกันในการแทนที่ขีดล่างและขีดกลาง (เช่น : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, สินทรัพย์ไปป์ไลน์, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite)
แพ็คเกจที่เป็นอันตรายรวมไฟล์ PNG ที่มีไฟล์ปฏิบัติการสำหรับแพลตฟอร์ม Windows แทนที่จะเป็นรูปภาพ ไฟล์นี้สร้างขึ้นโดยใช้ยูทิลิตี้ Ocra Ruby2Exe และรวมไฟล์เก็บถาวรแบบขยายตัวเองด้วยสคริปต์ Ruby และล่าม Ruby เมื่อติดตั้งแพ็คเกจ ไฟล์ PNG จะถูกเปลี่ยนชื่อเป็น exe และเปิดใช้งาน ในระหว่างการดำเนินการ ไฟล์ VBScript จะถูกสร้างขึ้นและเพิ่มไปยังการทำงานอัตโนมัติ VBScript ที่เป็นอันตรายที่ระบุในลูปวิเคราะห์เนื้อหาของคลิปบอร์ดสำหรับการมีอยู่ของข้อมูลที่ชวนให้นึกถึงที่อยู่กระเป๋าเงิน crypto และหากตรวจพบ ให้แทนที่หมายเลขกระเป๋าเงินด้วยความคาดหวังว่าผู้ใช้จะไม่สังเกตเห็นความแตกต่างและโอนเงินไปยังกระเป๋าเงินที่ไม่ถูกต้อง .
การศึกษาแสดงให้เห็นว่าการเพิ่มแพ็คเกจที่เป็นอันตรายลงในคลังเก็บข้อมูลที่ได้รับความนิยมมากที่สุดนั้นไม่ใช่เรื่องยาก และแพ็คเกจเหล่านี้ยังคงตรวจไม่พบแม้ว่าจะมีการดาวน์โหลดจำนวนมากก็ตาม ควรสังเกตว่าปัญหา RubyGems และครอบคลุมพื้นที่เก็บข้อมูลยอดนิยมอื่น ๆ ตัวอย่างเช่นเมื่อปีที่แล้วนักวิจัยคนเดียวกัน ในพื้นที่เก็บข้อมูล NPM มีแพ็คเกจที่เป็นอันตรายที่เรียกว่า bb-builder ซึ่งใช้เทคนิคที่คล้ายกันในการเปิดไฟล์ปฏิบัติการเพื่อขโมยรหัสผ่าน ก่อนหน้านี้มีประตูหลัง ขึ้นอยู่กับแพ็คเกจ event-stream NPM โค้ดที่เป็นอันตรายจะถูกดาวน์โหลดประมาณ 8 ล้านครั้ง แพ็คเกจที่เป็นอันตรายด้วย ในพื้นที่เก็บข้อมูล PyPI
ที่มา: opennet.ru