逆向实验室公司 应用分析结果 在 RubyGems 存储库中。 通常,拼写错误用于分发恶意软件包,旨在导致粗心的开发人员在搜索时出现拼写错误或没有注意到其中的差异。 该研究发现了 700 多个名称与流行软件包相似的软件包,但在一些小细节上有所不同,例如替换相似的字母或使用下划线代替破折号。
在 400 多个软件包中发现了涉嫌执行恶意活动的组件。 具体来说,里面的文件是aaa.png,其中包含PE格式的可执行代码。 这些软件包与 16 年 25 月 2020 日至 XNUMX 月 XNUMX 日期间发布 RubyGems 的两个帐户相关联 ,总共被下载了约 95 次。 研究人员通知 RubyGems 管理部门,发现的恶意软件包已从存储库中删除。
在发现的有问题的软件包中,最受欢迎的是“atlas-client”,乍一看它与合法软件包几乎没有区别“”。 指定的包被下载了2100次(普通包被下载了6496次,即用户在几乎25%的情况下都是错误的)。 其余的软件包平均被下载 100-150 次,并使用类似的替换下划线和破折号的技术伪装成其他软件包(例如, :appium-lib、action-mailer_cache_delivery、activemodel_validators、asciidoctor_bibliography、assets-pipeline、apress_validators、ar_octopus-replication-tracking、aliyun-open_search、aliyun-mns、ab_split、apns-polite)。
这些恶意软件包包含一个 PNG 文件,但该文件中包含的是平台的可执行文件,而不是图像。 Windows该文件由 Ocra Ruby2Exe 工具生成,包含一个自解压压缩包,其中包含 Ruby 脚本和 Ruby 解释器。安装该软件包后,png 文件被重命名为 .exe 文件并运行。运行过程中,会创建一个 VBScript 文件并将其添加到启动项中。这个恶意 VBScript 会循环遍历剪贴板,寻找类似加密货币钱包地址的信息。如果检测到任何此类信息,它会替换掉原有的钱包地址,企图让用户忽略差异,将资金转入错误的钱包。
研究表明,将恶意软件包添加到最流行的存储库之一并不困难,并且尽管下载量很大,但这些软件包仍可能未被检测到。 需要注意的是,该问题 RubyGems 并涵盖其他流行的存储库。 例如,去年同样的研究人员 在 NPM 存储库中,有一个名为 bb-builder 的恶意软件包,它使用类似的启动可执行文件的技术来窃取密码。 在此之前有一个后门 根据 event-stream NPM 包,恶意代码被下载了大约 8 万次。 恶意软件包也 在 PyPI 存储库中。
来源: opennet.ru
