ReversingLabs Company ohun elo onínọmbà esi ni ibi ipamọ RubyGems. Ni deede, titẹ titẹ ni a lo lati kaakiri awọn idii irira ti a ṣe apẹrẹ lati fa ki olupilẹṣẹ aibikita lati ṣe typo tabi ko ṣe akiyesi iyatọ nigba wiwa. Iwadi na ṣe idanimọ diẹ sii ju awọn idii 700 pẹlu awọn orukọ ti o jọra si awọn idii olokiki ṣugbọn iyatọ ni awọn alaye kekere, gẹgẹ bi rirọpo awọn lẹta ti o jọra tabi lilo awọn ṣoki dipo dashes.
Awọn paati fura si ti ṣiṣe awọn iṣẹ irira ni a rii ni diẹ sii ju awọn idii 400. Ni pataki, faili inu jẹ aaa.png, eyiti o pẹlu koodu ṣiṣe ni ọna kika PE. Awọn idii wọnyi ni nkan ṣe pẹlu awọn akọọlẹ meji nipasẹ eyiti a fiweranṣẹ RubyGems lati Kínní 16 si Kínní 25, 2020 , eyiti o jẹ igbasilẹ ni apapọ nipa awọn akoko 95 ẹgbẹrun. Awọn oniwadi naa sọ fun iṣakoso RubyGems ati awọn idii irira ti a ti mọ tẹlẹ ti yọkuro lati ibi ipamọ naa.
Ninu awọn idii iṣoro ti a ṣe idanimọ, olokiki julọ ni “atlas-client”, eyiti ni iwo akọkọ ko ṣee ṣe iyatọ si package ti o tọ.". A ṣe igbasilẹ package ti a ti sọ tẹlẹ ni awọn akoko 2100 (papọ deede ti ṣe igbasilẹ awọn akoko 6496, ie awọn olumulo ko tọ ni fere 25% awọn ọran). Awọn idii ti o ku ni a ṣe igbasilẹ ni apapọ awọn akoko 100-150 ati pe wọn jẹ camouflaged bi awọn idii miiran nipa lilo ilana ti o jọra ti rirọpo awọn abẹlẹ ati awọn dashes (fun apẹẹrẹ, laarin : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, ìní-pipeline, apress_validators, ar_octopus-replication-tracking, alyun-open_search, aliyun-mns, ab_split, apns-polite).
Awọn idii irira pẹlu faili PNG kan ti o ni faili ti o le ṣiṣẹ ninu fun pẹpẹ Windows dipo aworan kan. Faili naa jẹ ipilẹṣẹ nipa lilo IwUlO Ocra Ruby2Exe ati pe o wa pẹlu ile ifi nkan pamosi ti ara ẹni pẹlu iwe afọwọkọ Ruby ati onitumọ Ruby. Nigbati o ba nfi package sii, faili png ti tun lorukọ si exe ati ṣe ifilọlẹ. Lakoko ipaniyan, faili VBScript ti ṣẹda ati ṣafikun si autorun. VBScript irira pato ti o wa ninu lupu ṣe itupalẹ awọn akoonu ti agekuru agekuru fun wiwa alaye ti o ṣe iranti awọn adirẹsi apamọwọ crypto, ati pe ti o ba rii, rọpo nọmba apamọwọ pẹlu ireti pe olumulo ko ni akiyesi awọn iyatọ ati gbe awọn owo si apamọwọ ti ko tọ. .
Iwadi na fihan pe ko nira lati ṣafikun awọn idii irira si ọkan ninu awọn ibi ipamọ olokiki julọ, ati pe awọn idii wọnyi le wa ni aimọ, laibikita nọmba pataki ti awọn igbasilẹ. O yẹ ki o ṣe akiyesi pe iṣoro naa RubyGems ati bo awọn ibi ipamọ olokiki miiran. Fun apẹẹrẹ, odun to koja kanna oluwadi ninu ibi ipamọ NPM kan wa package irira ti a pe ni bb-builder, eyiti o nlo ilana ti o jọra ti ifilọlẹ faili ṣiṣe lati ji awọn ọrọ igbaniwọle. Ṣaaju ki o to yi nibẹ je kan backdoor da lori package NPM ṣiṣan-iṣẹlẹ, koodu irira ti ṣe igbasilẹ nipa awọn akoko 8 milionu. Awọn idii irira tun ninu ibi ipamọ PyPI.
orisun: opennet.ru