逆向实验室公司 应用分析结果 在 RubyGems 存储库中。 通常,拼写错误用于分发恶意软件包,旨在导致粗心的开发人员在搜索时出现拼写错误或没有注意到其中的差异。 该研究发现了 700 多个名称与流行软件包相似的软件包,但在一些小细节上有所不同,例如替换相似的字母或使用下划线代替破折号。
在 400 多个软件包中发现了涉嫌执行恶意活动的组件。 具体来说,里面的文件是aaa.png,其中包含PE格式的可执行代码。 这些软件包与 16 年 25 月 2020 日至 XNUMX 月 XNUMX 日期间发布 RubyGems 的两个帐户相关联 ,总共被下载了约 95 次。 研究人员通知 RubyGems 管理部门,发现的恶意软件包已从存储库中删除。
在发现的有问题的软件包中,最受欢迎的是“atlas-client”,乍一看它与合法软件包几乎没有区别“”。 指定的包被下载了2100次(普通包被下载了6496次,即用户在几乎25%的情况下都是错误的)。 其余的软件包平均被下载 100-150 次,并使用类似的替换下划线和破折号的技术伪装成其他软件包(例如, :appium-lib、action-mailer_cache_delivery、activemodel_validators、asciidoctor_bibliography、assets-pipeline、apress_validators、ar_octopus-replication-tracking、aliyun-open_search、aliyun-mns、ab_split、apns-polite)。
恶意软件包包含一个 PNG 文件,其中包含 Windows 平台的可执行文件而不是图像。 该文件是使用 Ocra Ruby2Exe 实用程序生成的,并包含带有 Ruby 脚本和 Ruby 解释器的自解压存档。 安装包时,png文件被重命名为exe并启动。 在执行过程中,创建了一个 VBScript 文件并将其添加到 autorun.txt 中。 指定的恶意 VBScript 循环分析剪贴板的内容是否存在让人想起加密钱包地址的信息,如果检测到,则替换钱包号码,期望用户不会注意到差异并将资金转移到错误的钱包。
研究表明,将恶意软件包添加到最流行的存储库之一并不困难,并且尽管下载量很大,但这些软件包仍可能未被检测到。 需要注意的是,该问题 RubyGems 并涵盖其他流行的存储库。 例如,去年同样的研究人员 在 NPM 存储库中,有一个名为 bb-builder 的恶意软件包,它使用类似的启动可执行文件的技术来窃取密码。 在此之前有一个后门 根据 event-stream NPM 包,恶意代码被下载了大约 8 万次。 恶意软件包也 在 PyPI 存储库中。
来源: opennet.ru