ReversingLabs kompaniyasi ilovalarni tahlil qilish natijalari RubyGems omborida. Odatda, typosquatting e'tiborsiz ishlab chiquvchiga matn terish xatosiga yo'l qo'yishi yoki qidiruv paytida farqni sezmasligi uchun mo'ljallangan zararli paketlarni tarqatish uchun ishlatiladi. Tadqiqotda mashhur paketlarga oʻxshash nomga ega, lekin oʻxshash harflarni almashtirish yoki tire oʻrniga pastki chiziq qoʻyish kabi mayda detallari bilan farq qiluvchi 700 dan ortiq paketlar aniqlandi.
400 dan ortiq paketlarda zararli harakatlarni amalga oshirishda gumon qilingan komponentlar topildi. Xususan, ichidagi fayl aaa.png bo'lib, u PE formatidagi bajariladigan kodni o'z ichiga olgan. Ushbu paketlar RubyGems 16-yil 25-fevraldan 2020-fevralgacha eʼlon qilingan ikkita hisob bilan bogʻlangan. , ular jami 95 ming marta yuklab olingan. Tadqiqotchilar RubyGems ma'muriyatiga xabar berishdi va aniqlangan zararli paketlar allaqachon ombordan olib tashlangan.
Aniqlangan muammoli paketlardan eng ommabop "atlas-mijoz" bo'ldi, bu birinchi qarashda qonuniy paketdan deyarli farq qilmaydi.". Belgilangan paket 2100 marta yuklab olindi (oddiy paket 6496 marta yuklab olingan, ya'ni deyarli 25% hollarda foydalanuvchilar xato qilgan). Qolgan paketlar o'rtacha 100-150 marta yuklab olingan va pastki chiziqlar va chiziqlarni almashtirishning o'xshash texnikasidan foydalangan holda boshqa paketlar sifatida kamuflyaj qilingan (masalan, : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replikatsiya-kuzatuv, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Zararli paketlar rasm o‘rniga Windows platformasi uchun bajariladigan faylni o‘z ichiga olgan PNG faylini o‘z ichiga olgan. Fayl Ocra Ruby2Exe yordam dasturi yordamida yaratilgan va Ruby skripti va Ruby tarjimoni bilan o'z-o'zidan ochiladigan arxivni o'z ichiga olgan. Paketni o'rnatishda png fayli exe deb o'zgartirildi va ishga tushirildi. Amalga oshirish jarayonida VBScript fayli yaratildi va autorunga qo'shildi. Ko'rsatilgan zararli VBScript siklda kripto-hamyon manzillarini eslatuvchi ma'lumotlar mavjudligi uchun clipboard tarkibini tahlil qildi va agar aniqlansa, foydalanuvchi farqlarni sezmasligi va pulni noto'g'ri hamyonga o'tkazmasligini kutish bilan hamyon raqamini almashtirdi. .
Tadqiqot shuni ko'rsatdiki, eng mashhur omborlardan biriga zararli paketlarni qo'shishga erishish qiyin emas va bu paketlar ko'p miqdorda yuklab olinganiga qaramay, aniqlanmasligi mumkin. Shuni ta'kidlash kerakki, muammo RubyGems va boshqa mashhur omborlarni qamrab oladi. Misol uchun, o'tgan yili xuddi shu tadqiqotchilar NPM omborida bb-Builder deb nomlangan zararli paket mavjud bo'lib, u parollarni o'g'irlash uchun bajariladigan faylni ishga tushirishning shunga o'xshash usulidan foydalanadi. Bundan oldin orqa eshik bor edi voqea oqimi NPM paketiga qarab, zararli kod taxminan 8 million marta yuklab olingan. Zararli paketlar ham PyPI omborida.
Manba: opennet.ru