ReversingLabs Şirketi uygulama analizi sonuçları RubyGems deposunda. Tipik olarak yazım hatası, dikkatsiz bir geliştiricinin yazım hatası yapmasına veya arama sırasında farkı fark etmemesine neden olacak şekilde tasarlanmış kötü amaçlı paketleri dağıtmak için kullanılır. Araştırmada, popüler paketlere benzer adlara sahip ancak benzer harflerin kullanılması veya kısa çizgi yerine alt çizgi kullanılması gibi küçük ayrıntılarda farklılık gösteren 700'den fazla paket tespit edildi.
400'den fazla pakette kötü amaçlı faaliyetlerde bulunduğundan şüphelenilen bileşenler bulundu. Özellikle içindeki dosya, PE formatında yürütülebilir kod içeren aaa.png idi. Bu paketler, RubyGems'in 16 Şubat - 25 Şubat 2020 tarihleri arasında yayınlandığı iki hesapla ilişkilendirildi toplamda yaklaşık 95 bin kez indirildi. Araştırmacılar RubyGems yönetimini bilgilendirdi ve tespit edilen kötü amaçlı paketlerin depodan kaldırıldığı belirtildi.
Belirlenen sorunlu paketlerden en popüler olanı, ilk bakışta meşru paketten neredeyse ayırt edilemeyen "atlas-client" idi.". Belirtilen paket 2100 kez indirildi (normal paket 6496 kez indirildi, yani kullanıcılar vakaların neredeyse %25'inde hatalıydı). Geriye kalan paketler ortalama 100-150 kez indirildi ve alt çizgi ve çizgilerin değiştirilmesi gibi benzer bir teknik kullanılarak diğer paketler gibi kamufle edildi (örneğin, : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Kötü amaçlı paketler, bir görüntü yerine Windows platformu için yürütülebilir bir dosya içeren bir PNG dosyası içeriyordu. Dosya, Ocra Ruby2Exe yardımcı programı kullanılarak oluşturuldu ve Ruby komut dosyası ve Ruby yorumlayıcısı içeren, kendi kendine açılan bir arşiv içeriyordu. Paket yüklenirken png dosyası exe olarak yeniden adlandırıldı ve başlatıldı. Yürütme sırasında bir VBScript dosyası oluşturuldu ve otomatik çalıştırmaya eklendi. Belirtilen kötü amaçlı VBScript, bir döngüde panonun içeriğini kripto cüzdan adreslerini anımsatan bilgilerin varlığı açısından analiz etti ve tespit edilirse, kullanıcının farklılıkları fark etmeyeceği ve parayı yanlış cüzdana aktarmayacağı beklentisiyle cüzdan numarasını değiştirdi. .
Çalışma, kötü amaçlı paketlerin en popüler depolardan birine eklenmesinin zor olmadığını ve bu paketlerin önemli sayıda indirmeye rağmen tespit edilemeyebileceğini gösterdi. Sorunun şu olduğunu belirtmek gerekir RubyGems ve diğer popüler depoları kapsar. Örneğin geçen yıl aynı araştırmacılar NPM deposunda, şifreleri çalmak için yürütülebilir bir dosyayı başlatmak için benzer bir teknik kullanan bb-builder adı verilen kötü amaçlı bir paket var. Bundan önce bir arka kapı vardı Olay akışı NPM paketine bağlı olarak kötü amaçlı kod yaklaşık 8 milyon kez indirildi. Kötü amaçlı paketler de PyPI deposunda.
Kaynak: opennet.ru