Meer as 700 kwaadwillige pakkette wat vir mynbou gebruik is, is in RubyGems opgespoor

Donkerkrizt | | Opgedateer op | Nuus, programmering

Geen kommentaar nie

'N Paar dae gelede het die ReversingLabs-navorsers vrygestel deur middel van 'n blogpos, resultate van 'n analise van die gebruik van tikfout in die RubyGems-bewaarplek. Tipies tiposquatting gebruik om kwaadwillige pakkette te versprei ontwerp om die onoplettende ontwikkelaar in staat te stel om 'n tikfout te maak of nie die verskil raak te sien nie.

Die studie het meer as 700 pakkette onthul, cHulle name is soortgelyk aan gewilde pakkette en verskil in klein besonderhede, byvoorbeeld om soortgelyke letters te vervang of onderstreepe in plaas van koppeltekens te gebruik.

Om sulke maatreëls te voorkom, is kwaadwillige mense altyd op soek na nuwe aanvalvektore. Een so 'n vektor, wat 'n sagteware-aanbodkettingaanval genoem word, word al hoe gewilder.

Van die pakkette wat ontleed is, is opgemerk dat meer as 400 pakkette is geïdentifiseer as wat verdagte komponente bevat de kwaadwillige aktiwiteit. In die besonder, binne die Die lêer was aaa.png, wat uitvoerbare kode in PE-formaat ingesluit het.

Oor pakkette

Die kwaadwillige pakkette bevat 'n PNG-lêer wat 'n uitvoerbare lêer bevat vir die Windows-platform in plaas van 'n beeld. Die lêer is gegenereer met behulp van die Ocra Ruby2Exe-program en ingesluit 'n selfonttrekkende argief met 'n Ruby-skrif en 'n Ruby-tolk.

By die installering van die pakket is die png-lêer herdoop na exe en dit het begin. Tydens uitvoering, 'n VBScript-lêer is geskep en by outostart gevoeg.

Die kwaadwillige VBScript wat in 'n lus gespesifiseer is, het die klembordinhoud gescand vir inligting soortgelyk aan kripto-beursie-adresse en in die geval van opsporing vervang die beursienommer met die verwagting dat die gebruiker nie die verskille sou opmerk nie en die fondse sou oordra. na die verkeerde beursie.

Tiposquatting is veral interessant. Met hierdie soort aanval noem hulle opsetlike kwaadwillige pakkette om soveel as moontlik te lyk soos gewildes, in die hoop dat 'n niksvermoedende gebruiker die naam verkeerd sal spel en die kwaadwillige pakket onbedoeld sal installeer.

Die studie het getoon dat dit nie moeilik is om kwaadwillige pakkette by een van die gewildste bewaarplekke te voeg nie en hierdie pakkette kan ondanks 'n aansienlike aantal aflaaie ongemerk bly. Daar moet op gelet word dat die kwessie nie spesifiek vir RubyGems is nie en van toepassing is op ander gewilde bewaarplekke.

Dieselfde navorsers het byvoorbeeld verlede jaar in die bewaarplek van NPM 'n kwaadwillige bb-bouwer pakket wat 'n soortgelyke tegniek gebruik om 'n uitvoerbare lêer uit te voer om wagwoorde te steel. Daarvoor is 'n agterdeur gevind, afhangende van die NPM-pakket van die gebeurtenisstroom, en die kwaadwillige kode is ongeveer 8 miljoen keer afgelaai. Kwaadwillige pakkette verskyn ook gereeld in die PyPI-bewaarplekke.

Hierdie pakkette hulle is met twee rekeninge geassosieer waardeur, Van 16 Februarie tot 25 Februarie 2020 is 724 kwaadwillige pakkies gepubliseers in RubyGems wat in totaal ongeveer 95 duisend keer afgelaai is.

Navorsers het die administrasie van RubyGems in kennis gestel en die geïdentifiseerde malware-pakkette is reeds uit die bewaarplek verwyder.

Hierdie aanvalle bedreig organisasies indirek deur derdepartyverkopers aan te val wat hulle sagteware of dienste bied. Aangesien sulke verskaffers gewoonlik as betroubare uitgewers beskou word, bestee organisasies minder tyd aan die verifiëring van die pakkette wat hulle verbruik, is regtig vry van wanware.

Van die geïdentifiseerde probleempakkette was die atlaskliënt die gewildste, wat met die eerste oogopslag bykans nie van die wettige atlas_client-pakket onderskei kan word nie. Die gespesifiseerde pakket is 2100 keer afgelaai (normale pakket is 6496 keer afgelaai, dit wil sê dat gebruikers in amper 25% van die gevalle verkeerd is).

Die oorblywende pakkette is gemiddeld 100-150 keer afgelaai en vir ander pakkette gekamoefleer gebruik dieselfde onderstreep- en koppeltekenvervangingstegniek (byvoorbeeld tussen kwaadwillige pakkies: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-beleefd).

As u meer wil weet oor die studie wat uitgevoer is, kan u die besonderhede in die volgende skakel. 


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.