Fa alguns dies els investigadors de ReversingLabs van donar a conèixer mitjançant una publicació al seu bloc, els resultats d'una anàlisi de l'ús de typosquatting al repositori RubyGems. En general, typosquatting es fa servir per distribuir paquets maliciosos dissenyats per permetre que el desenvolupador desatès cometi un error tipogràfic o no noti la diferència.
L'estudi va revelar més de 700 paquets, cels noms són similars als paquets populars i difereixen en detalls menors, per exemple, reemplaçant lletres similars o usant guions baixos en lloc de guions.
Per evitar aquestes mesures, les persones malintencionades sempre estan buscant nous vectors d'atac. Un d'aquests vectors, anomenat atac de la cadena de subministrament de programari, s'està tornant cada cop més popular.
Dels paquets que van ser analitzats es va assenyalar que més de 400 paquets van ser identificats per contenir components sospitosos di activitat maliciosa. En particular, dins del fitxer estava aaa.png, que incloïa codi executable en format PE.
Sobre els paquets
Els paquets maliciosos incloïen un fitxer PNG que contenia un fitxer executable per a la plataforma Windows en comptes d'una imatge. El fitxer es va generar utilitzant la utilitat Ocra Ruby2Exe i va incloure un arxiu autoextraïble amb un script Ruby i un intèrpret Ruby.
En instal·lar el paquet, es va canviar el nom del fitxer png a exe i es va iniciar. Durant l'execució, es va crear un fitxer VBScript i es va afegir a l'inici automàtic.
El VBScript maliciós especificat en un cicle va analitzar el contingut del porta-retalls a la recerca d'informació similar a les adreces de les bitlleteres criptogràfiques i en cas de detecció, va reemplaçar el número de cartera amb l'expectativa que l'usuari no notaria les diferències i transferiria els fons a la cartera incorrecta.
Typosquatting és particularment interessant. Usant aquest tipus d'atac anomenen intencionalment paquets maliciosos per assemblar-se al més possible als populars, amb l'esperança que un usuari desprevingut escrigui malament el nom i instal·li involuntàriament el paquet maliciós en lloc.
L'estudi va mostrar que no és difícil afegir paquets maliciosos a un dels repositoris més populars i aquests paquets poden passar desapercebuts, malgrat un nombre significatiu de descàrregues. Val a dir que el problema no és específic de RubyGems i s'aplica a altres repositoris populars.
Per exemple, l'any passat, els mateixos investigadors van identificar a el repositori de NPM un paquet maliciós de bb-builder que utilitza una tècnica similar per executar un fitxer executable per robar contrasenyes. Abans d'això, es va trobar una porta del darrere depenent del paquet NPM de flux d'esdeveniments i el codi maliciós es va descarregar aproximadament 8 milions de vegades. Els paquets maliciosos també apareixen periòdicament als dipòsits de PyPI.
aquests paquets es van associar amb dos comptes a través de les quals, del 16 de febrer al 25 de febrer del 2020, es van publicar 724 paquets malicióss a RubyGems que en total es van descarregar aproximadament 95 mil vegades.
Els investigadors han informat l'administració de RubyGems i els paquets de codi maliciós identificats ja s'han eliminat del repositori.
Aquests atacs amenacen indirectament les organitzacions en atacar els proveïdors externs que els proporcionen programari o serveis. Atès que aquests proveïdors generalment es consideren editors de confiança, les organitzacions tendeixen a passar menys temps verificant que els paquets que consumeixen estan realment lliures de codi maliciós (malware).
Dels paquets de problemes identificats, el més popular va ser l'atles-client, que a primera vista és gairebé indistingible del paquet legítim atlas_client. El paquet especificat es va descarregar 2100 vegades (el paquet normal es va descarregar 6496 vegades, és a dir, els usuaris es van equivocar en gairebé el 25% dels casos).
Els paquets restants es van descarregar de mitjana 100-150 vegades i es van camuflar per a altres paquets usant la mateixa tècnica de subratllat i reemplaçament de guió (per exemple, entre paquets maliciosos : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, actius-validators, ar_octopus- seguiment de replicació, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Si vols conèixer més sobre l'estudi realitzat, pots consultar els detalls al següent enllaç.