Công ty ReversingLabs kết quả phân tích ứng dụng trong kho lưu trữ RubyGems. Thông thường, tính năng đánh máy được sử dụng để phân phối các gói độc hại được thiết kế nhằm khiến nhà phát triển thiếu chú ý mắc lỗi đánh máy hoặc không nhận thấy sự khác biệt khi tìm kiếm. Nghiên cứu đã xác định hơn 700 gói có tên giống với các gói phổ biến nhưng khác nhau ở những chi tiết nhỏ, chẳng hạn như thay thế các chữ cái tương tự hoặc sử dụng dấu gạch dưới thay vì dấu gạch ngang.
Các thành phần bị nghi ngờ thực hiện các hoạt động độc hại được tìm thấy trong hơn 400 gói. Đặc biệt, tệp bên trong là aaa.png, bao gồm mã thực thi ở định dạng PE. Các gói này được liên kết với hai tài khoản mà RubyGems được đăng từ ngày 16 tháng 25 đến ngày 2020 tháng XNUMX năm XNUMX , tổng cộng đã được tải xuống khoảng 95 nghìn lần. Các nhà nghiên cứu đã thông báo cho chính quyền RubyGems và các gói độc hại được xác định đã bị xóa khỏi kho lưu trữ.
Trong số các gói có vấn đề được xác định, gói phổ biến nhất là “atlas-client”, thoạt nhìn thực tế không thể phân biệt được với gói hợp pháp “". Gói được chỉ định đã được tải xuống 2100 lần (gói bình thường được tải xuống 6496 lần, tức là người dùng đã sai trong gần 25% trường hợp). Các gói còn lại được tải xuống trung bình 100-150 lần và được ngụy trang thành các gói khác bằng cách sử dụng kỹ thuật tương tự để thay thế dấu gạch dưới và dấu gạch ngang (ví dụ: trong số : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Các gói độc hại bao gồm một tệp PNG chứa tệp thực thi cho nền tảng Windows thay vì hình ảnh. Tệp được tạo bằng tiện ích Ocra Ruby2Exe và bao gồm một kho lưu trữ tự giải nén với tập lệnh Ruby và trình thông dịch Ruby. Khi cài đặt gói, tệp png đã được đổi tên thành exe và khởi chạy. Trong quá trình thực thi, một tệp VBScript đã được tạo và thêm vào autorun. VBScript độc hại được chỉ định trong một vòng lặp đã phân tích nội dung của bảng ghi tạm để tìm sự hiện diện của thông tin gợi nhớ đến địa chỉ ví tiền điện tử và nếu bị phát hiện, nó sẽ thay thế số ví với mong muốn người dùng sẽ không nhận thấy sự khác biệt và chuyển tiền vào nhầm ví .
Nghiên cứu cho thấy không khó để đạt được việc bổ sung các gói độc hại vào một trong những kho lưu trữ phổ biến nhất và các gói này có thể vẫn không bị phát hiện, mặc dù có số lượng tải xuống đáng kể. Cần lưu ý rằng vấn đề RubyGems và bao gồm các kho lưu trữ phổ biến khác. Ví dụ, năm ngoái các nhà nghiên cứu tương tự trong kho lưu trữ NPM có một gói độc hại tên là bb-builder, gói này sử dụng kỹ thuật tương tự là khởi chạy một tệp thực thi để đánh cắp mật khẩu. Trước đó đã có một cửa sau tùy thuộc vào gói NPM luồng sự kiện, mã độc đã được tải xuống khoảng 8 triệu lần. Các gói độc hại cũng trong kho lưu trữ PyPI.
Nguồn: opennet.ru