Преди няколко дни Пуснаха изследователи на ReversingLabs чрез публикация в блог, резултати от анализ на използването на типосквати в хранилището на RubyGems. Типично типокутиране използва се за разпространение на злонамерени пакети проектиран да позволи на невнимателния разработчик да направи печатна грешка или да не забележи разликата.
Проучването разкрива повече от 700 опаковки, cТехните имена са подобни на популярните пакети и се различават в незначителни детайли, например заместване на подобни букви или използване на долни черти вместо тирета.
За да избегнат подобни мерки, злонамерените хора винаги търсят нови вектори на атака. Един такъв вектор, наречен атака на веригата за доставки на софтуер, става все по-популярен.
От пакетите, които бяха анализирани, беше отбелязано, че бяха идентифицирани повече от 400 опаковки, съдържащи подозрителни компоненти dд злонамерена дейност. По-специално в рамките на Файлът беше aaa.png, който включваше изпълним код в PE формат.
Относно пакетите
Злонамерените пакети включват PNG файл, съдържащ изпълним файл за платформата Windows вместо изображение. Файлът е генериран с помощта на помощната програма Ocra Ruby2Exe и е включен саморазархивиращ се архив със скрипт Ruby и интерпретатор на Ruby.
При инсталиране на пакета png файлът беше преименуван на exe и започна. По време на екзекуцията, създаден е файл VBScript и е добавен към автоматично стартиране.
Зловредният VBScript, посочен в цикъл, сканира съдържанието на клипборда за информация, подобна на адресите на крипто портфейла и в случай на откриване, замества номера на портфейла с очакването, че потребителят няма да забележи разликите и ще преведе средствата към грешния портфейл.
Типоскутирането е особено интересно. Използвайки този тип атака, те умишлено именуват злонамерени пакети, за да приличат възможно най-много на популярни, с надеждата, че нищо неподозиращ потребител ще изписва неправилно името и вместо това неволно ще инсталира злонамерения пакет.
Проучването показа, че не е трудно да се добавят злонамерени пакети към едно от най-популярните хранилища и тези пакети могат да останат незабелязани, въпреки значителен брой изтегляния. Трябва да се отбележи, че проблемът не е специфичен за RubyGems и се отнася за други популярни хранилища.
Например миналата година същите изследователи се идентифицираха в хранилището на NPM злонамерен пакет за изграждане на bb, който използва подобна техника за стартиране на изпълним файл за кражба на пароли. Преди това бе намерена задна врата в зависимост от пакета NPM на потока от събития и зловредният код беше изтеглен приблизително 8 милиона пъти. Злонамерените пакети също се появяват периодично в хранилищата на PyPI.
Тези пакети те бяха свързани с два акаунта чрез което, От 16 февруари до 25 февруари 2020 г. бяха публикувани 724 злонамерени пакетаs в RubyGems, които общо са изтеглени приблизително 95 хиляди пъти.
Изследователите са информирали администрацията на RubyGems и идентифицираните пакети за зловреден софтуер вече са премахнати от хранилището.
Тези атаки косвено заплашват организации, като атакуват доставчици на трети страни, които им предоставят софтуер или услуги. Тъй като такива доставчици обикновено се считат за доверени издатели, организациите са склонни да отделят по-малко време, за да проверят дали пакетите, които консумират, наистина не съдържат зловреден софтуер.
От идентифицираните проблемни пакети най-популярен беше клиентът на атлас, което на пръв поглед е почти неразличимо от легитимния пакет atlas_client. Посоченият пакет е изтеглен 2100 пъти (нормалният пакет е изтеглен 6496 пъти, т.е. потребителите са го сгрешили в почти 25% от случаите).
Останалите пакети бяха изтеглени средно 100-150 пъти и замаскирани за други пакети като се използва същата техника за подчертаване и замяна на тире (например между злонамерени пакети: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, imov-validators, ar_octopus- репликация проследяване, aliyun-open_search, aliyun-mns, ab_split, apns-учтив).
Ако искате да научите повече за проведеното проучване, можете да се консултирате с подробностите в следваща връзка.