قبل أيام قليلة أصدر باحثو ريفيرسينغ لابز من خلال منشور مدونة ، نتائج تحليل استخدام الكتابة المطبعية في مستودع RubyGems. عادة ما تكون مطبعية تستخدم لتوزيع الحزم الخبيثة مصمم للسماح للمطور الغافل بارتكاب خطأ إملائي أو عدم ملاحظة الاختلاف.
كشفت الدراسة عن أكثر من 700 عبوة ، جتتشابه أسماؤها مع الحزم الشائعة وتختلف في التفاصيل الصغيرة ، على سبيل المثال ، استبدال الأحرف المتشابهة أو استخدام الشرطة السفلية بدلاً من الواصلات.
لتجنب مثل هذه الإجراءات ، يبحث الأشخاص الخبثاء دائمًا عن ناقلات هجوم جديدة. أحد هذه المتجهات ، يسمى هجوم سلسلة إمداد البرامج ، يزداد شعبية.
من الحزم التي تم تحليلها ، لوحظ أن تم تحديد أكثر من 400 عبوة تحتوي على مكونات مشبوهة دنشاط ضار. على وجه الخصوص ، داخل كان الملف aaa.png ، والذي تضمن رمزًا قابلاً للتنفيذ بتنسيق PE.
حول الحزم
تضمنت الحزم الخبيثة ملف PNG يحتوي على ملف قابل للتنفيذ لمنصة Windows بدلاً من الصورة. تم إنشاء الملف باستخدام الأداة المساعدة Ocra Ruby2Exe وتم تضمينه أرشيف استخراج ذاتي مع نص روبي ومترجم روبي.
عند تثبيت الحزمة ، تمت إعادة تسمية ملف png إلى exe وبدأت. أثناء التنفيذ ، تم إنشاء ملف VBScript وإضافته إلى التشغيل التلقائي.
قام VBScript الضار المحدد في حلقة بفحص محتوى الحافظة للحصول على معلومات مشابهة لعناوين محفظة التشفير وفي حالة الكشف ، استبدل رقم المحفظة بتوقع أن المستخدم لن يلاحظ الاختلافات وسيحول الأموال إلى المحفظة الخطأ.
تعتبر لعبة Typosquatting مثيرة للاهتمام بشكل خاص. باستخدام هذا النوع من الهجوم ، يقومون عن عمد بتسمية الحزم الخبيثة لتشبه الحزم الشائعة قدر الإمكان ، على أمل أن يخطئ المستخدم المطمئن في كتابة الاسم وتثبيت الحزمة الخبيثة عن غير قصد.
أظهرت الدراسة أنه ليس من الصعب إضافة حزم ضارة إلى أحد أكثر المستودعات شهرة ويمكن أن تمر هذه الحزم دون أن يلاحظها أحد ، على الرغم من عدد التنزيلات الكبير. تجدر الإشارة إلى أن المشكلة ليست خاصة بـ RubyGems وتنطبق على المستودعات الشائعة الأخرى.
على سبيل المثال ، في العام الماضي ، حدد نفس الباحثين في مستودع NPM هي حزمة منشئ bb خبيثة تستخدم أسلوبًا مشابهًا لتشغيل ملف قابل للتنفيذ لسرقة كلمات المرور. قبل ذلك ، تم العثور على باب خلفي اعتمادًا على حزمة NPM لدفق الأحداث وتم تنزيل الشفرة الضارة حوالي 8 ملايين مرة. تظهر الحزم الضارة أيضًا بشكل دوري في مستودعات PyPI.
هذه الحزم كانوا مرتبطين بحسابين التي من خلالها، من 16 فبراير إلى 25 فبراير 2020 ، تم نشر 724 حزمة ضارةs في RubyGems والتي تم تنزيلها في المجموع حوالي 95 ألف مرة.
أبلغ الباحثون إدارة RubyGems وتم بالفعل إزالة حزم البرامج الضارة المحددة من المستودع.
تهدد هذه الهجمات المنظمات بشكل غير مباشر من خلال مهاجمة البائعين الخارجيين الذين يزودونهم بالبرامج أو الخدمات. نظرًا لأن هؤلاء البائعين يعتبرون عمومًا ناشرين موثوقين ، تميل المؤسسات إلى قضاء وقت أقل في التحقق من أن الحزم التي يستهلكونها خالية حقًا من البرامج الضارة.
من بين حزم المشاكل التي تم تحديدها ، كان أطلس العميل الأكثر شعبية ، والذي لا يمكن تمييزه للوهلة الأولى عن حزمة atlas_client المشروعة. تم تنزيل الحزمة المحددة 2100 مرة (تم تنزيل الحزمة العادية 6496 مرة ، أي أن المستخدمين ارتكبوا خطأ في حوالي 25٪ من الحالات).
تم تنزيل الحزم المتبقية في المتوسط 100-150 مرة وتم تمويهها لحزم أخرى باستخدام نفس تقنية استبدال التسطير والواصلة (على سبيل المثال ، بين الحزم الضارة: appium-lib ، action-mailer_cache_delivery ، activemodel_validators ، asciidoctor_bibliography ، الأصول-خط الأنابيب ، مدقق الأصول ، ar_octopus- تتبع النسخ المتماثل ، aliyun-open_search ، aliyun-mns ، ab_split ، apns-polite).
إذا كنت تريد معرفة المزيد عن الدراسة التي تم إجراؤها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.