Kumpanya ng ReversingLabs mga resulta ng pagsusuri ng aplikasyon sa repositoryo ng RubyGems. Karaniwan, ang typosquatting ay ginagamit upang ipamahagi ang mga nakakahamak na pakete na idinisenyo upang maging sanhi ng isang hindi nag-iingat na developer na gumawa ng typo o hindi mapansin ang pagkakaiba kapag naghahanap. Tinukoy ng pag-aaral ang higit sa 700 mga pakete na may mga pangalan na katulad ng mga sikat na pakete ngunit naiiba sa mga maliliit na detalye, tulad ng pagpapalit ng mga katulad na titik o paggamit ng mga salungguhit sa halip na mga gitling.
Ang mga bahaging pinaghihinalaang gumagawa ng mga malisyosong aktibidad ay natagpuan sa higit sa 400 mga pakete. Sa partikular, ang file sa loob ay aaa.png, na may kasamang executable code sa PE format. Ang mga package na ito ay nauugnay sa dalawang account kung saan nai-post ang RubyGems mula Pebrero 16 hanggang Pebrero 25, 2020 , na sa kabuuan ay na-download ng halos 95 libong beses. Ipinaalam ng mga mananaliksik ang pangangasiwa ng RubyGems at ang mga natukoy na malisyosong pakete ay naalis na sa imbakan.
Sa mga may problemang mga pakete na natukoy, ang pinakasikat ay "atlas-client", na sa unang tingin ay halos hindi makilala mula sa lehitimong pakete "". Na-download ang tinukoy na package ng 2100 beses (na-download ang normal na package ng 6496 beses, ibig sabihin, mali ang mga user sa halos 25% ng mga kaso). Ang natitirang mga pakete ay na-download sa average na 100-150 beses at na-camouflaged bilang iba pang mga pakete gamit ang isang katulad na pamamaraan ng pagpapalit ng mga underscore at gitling (halimbawa, sa : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Ang mga nakakahamak na pakete ay may kasamang PNG file na naglalaman ng executable file para sa Windows platform sa halip na isang imahe. Nabuo ang file gamit ang Ocra Ruby2Exe utility at may kasamang self-extracting archive na may Ruby script at Ruby interpreter. Kapag ini-install ang package, ang png file ay pinalitan ng pangalan sa exe at inilunsad. Sa panahon ng pagpapatupad, isang VBScript file ang ginawa at idinagdag sa autorun. Sinuri ng tinukoy na malisyosong VBScript sa isang loop ang mga nilalaman ng clipboard para sa pagkakaroon ng impormasyong nakapagpapaalaala sa mga address ng crypto wallet, at kung natukoy, pinalitan ang numero ng wallet na may pag-asang hindi mapapansin ng user ang mga pagkakaiba at maglipat ng mga pondo sa maling wallet .
Ipinakita ng pag-aaral na hindi mahirap makamit ang pagdaragdag ng mga nakakahamak na pakete sa isa sa mga pinakasikat na repositoryo, at ang mga paketeng ito ay maaaring manatiling hindi natukoy, sa kabila ng malaking bilang ng mga pag-download. Dapat pansinin na ang problema RubyGems at sumasaklaw sa iba pang sikat na repositoryo. Halimbawa, noong nakaraang taon ang parehong mga mananaliksik sa repositoryo ng NPM mayroong isang nakakahamak na pakete na tinatawag na bb-builder, na gumagamit ng katulad na pamamaraan ng paglulunsad ng isang maipapatupad na file upang magnakaw ng mga password. Bago ito ay may backdoor depende sa event-stream NPM package, ang malisyosong code ay na-download nang humigit-kumulang 8 milyong beses. Malicious packages din sa PyPI repository.
Pinagmulan: opennet.ru