ریورسنگ لیبز کمپنی درخواست کے تجزیہ کے نتائج روبی جیمز کے ذخیرے میں۔ عام طور پر، typosquatting کا استعمال بدنیتی پر مبنی پیکجوں کو تقسیم کرنے کے لیے کیا جاتا ہے جو کہ ایک لاپرواہ ڈیولپر کو ٹائپنگ کرنے یا تلاش کرتے وقت فرق محسوس نہ کرنے کا سبب بنتا ہے۔ مطالعہ نے 700 سے زیادہ پیکیجوں کی نشاندہی کی جن کے نام مشہور پیکجوں سے ملتے جلتے ہیں لیکن معمولی تفصیلات میں مختلف ہیں، جیسے کہ ایک جیسے حروف کو تبدیل کرنا یا ڈیش کے بجائے انڈر سکور کا استعمال کرنا۔
400 سے زیادہ پیکجوں میں بدنیتی پر مبنی سرگرمیاں انجام دینے کے مشتبہ اجزاء پائے گئے۔ خاص طور پر، اندر کی فائل aaa.png تھی، جس میں PE فارمیٹ میں قابل عمل کوڈ شامل تھا۔ یہ پیکجز دو اکاؤنٹس سے منسلک تھے جن کے ذریعے RubyGems کو 16 فروری سے 25 فروری 2020 تک پوسٹ کیا گیا تھا۔ جس کو مجموعی طور پر تقریباً 95 ہزار بار ڈاؤن لوڈ کیا گیا۔ محققین نے RubyGems انتظامیہ کو مطلع کیا اور شناخت شدہ نقصان دہ پیکجوں کو پہلے ہی ذخیرہ سے ہٹا دیا گیا ہے۔
جن مسائل کا شکار پیکجوں کی نشاندہی کی گئی ان میں سب سے زیادہ مقبول "اٹلس کلائنٹ" تھا، جو کہ پہلی نظر میں جائز پیکیج سے عملی طور پر الگ نہیں کیا جا سکتا۔" مخصوص پیکیج کو 2100 بار ڈاؤن لوڈ کیا گیا تھا (عام پیکج 6496 بار ڈاؤن لوڈ کیا گیا تھا، یعنی تقریباً 25% کیسز میں صارفین غلط تھے)۔ باقی پیکجز اوسطاً 100-150 بار ڈاؤن لوڈ کیے گئے تھے اور انڈر سکورز اور ڈیشز کو تبدیل کرنے کی اسی طرح کی تکنیک کا استعمال کرتے ہوئے دوسرے پیکجوں کی طرح چھپے ہوئے تھے (مثال کے طور پر : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite)۔
بدنیتی پر مبنی پیکجوں میں ایک PNG فائل شامل تھی جس میں ونڈوز پلیٹ فارم کے لیے تصویر کے بجائے ایک قابل عمل فائل تھی۔ فائل کو Ocra Ruby2Exe یوٹیلیٹی کا استعمال کرتے ہوئے تیار کیا گیا تھا اور اس میں روبی اسکرپٹ اور روبی مترجم کے ساتھ خود سے نکالنے والا آرکائیو شامل تھا۔ پیکج کو انسٹال کرتے وقت، png فائل کا نام بدل کر exe رکھ دیا گیا اور لانچ کیا گیا۔ عملدرآمد کے دوران، ایک VBScript فائل بنائی گئی اور آٹورن میں شامل کی گئی۔ ایک لوپ میں مخصوص نقصان دہ VBScript نے کرپٹو والیٹ پتوں کی یاد دلانے والی معلومات کی موجودگی کے لیے کلپ بورڈ کے مواد کا تجزیہ کیا، اور اگر پتہ چلا تو والیٹ نمبر کو اس امید کے ساتھ بدل دیا کہ صارف اختلافات کو محسوس نہیں کرے گا اور غلط والیٹ میں رقوم کی منتقلی نہیں کرے گا۔ .
مطالعہ سے پتہ چلتا ہے کہ سب سے زیادہ مقبول ریپوزٹریوں میں سے ایک میں نقصان دہ پیکجوں کا اضافہ کرنا مشکل نہیں ہے، اور یہ پیکجز ڈاؤن لوڈز کی ایک بڑی تعداد کے باوجود ناقابل شناخت رہ سکتے ہیں۔ واضح رہے کہ مسئلہ RubyGems اور دیگر مشہور ذخیروں کا احاطہ کرتا ہے۔ مثال کے طور پر، گزشتہ سال اسی محققین این پی ایم ریپوزٹری میں ایک بدنیتی پر مبنی پیکیج ہے جسے bb-builder کہتے ہیں، جو پاس ورڈ چرانے کے لیے ایک قابل عمل فائل لانچ کرنے کی اسی طرح کی تکنیک کا استعمال کرتا ہے۔ اس سے پہلے بیک ڈور تھا۔ ایونٹ-سٹریم NPM پیکیج پر منحصر ہے، بدنیتی پر مبنی کوڈ کو تقریباً 8 ملین بار ڈاؤن لوڈ کیا گیا تھا۔ بدنیتی پر مبنی پیکیجز بھی PyPI ذخیرہ میں۔
ماخذ: opennet.ru