Před několika dny Vědci z ReversingLabs zveřejnili prostřednictvím příspěvku na blogu, výsledky analýzy použití typosquattingu v úložišti RubyGems. Typicky typosquatting slouží k distribuci škodlivých balíčků navrženo tak, aby umožnilo nepozornému vývojáři udělat překlep nebo si nevšimnout rozdílu.
Studie odhalila více než 700 balení, cJejich jména jsou podobná oblíbeným balíčkům a liší se v drobných detailech, například nahrazením podobných písmen nebo použitím podtržítků místo pomlček.
Aby se takovým opatřením vyhnuli, lidé se zlými úmysly stále hledají nové vektory útoku. Jeden takový vektor, nazývaný útok na dodavatelský řetězec softwaru, je stále populárnější.
Z balíčků, které byly analyzovány, bylo uvedeno, že bylo identifikováno více než 400 balíčků obsahujících podezřelé komponenty dškodlivá činnost. Zejména v rámci Soubor byl aaa.png, který obsahoval spustitelný kód ve formátu PE.
O balíčcích
Mezi škodlivé balíčky patřil soubor PNG obsahující spustitelný soubor pro platformu Windows místo obrázku. Soubor byl vygenerován pomocí nástroje Ocra Ruby2Exe a zahrnut samorozbalovací archiv se skriptem Ruby a tlumočníkem Ruby.
Při instalaci balíčku byl soubor png přejmenován na exe a začalo to. Během provádění byl vytvořen soubor VBScript a přidán k automatickému spuštění.
Škodlivý VBScript specifikovaný ve smyčce prohledal obsah schránky, aby získal informace podobné adresám kryptové peněženky, a v případě detekce nahradil číslo peněženky očekáváním, že si uživatel nevšimne rozdílů a převede prostředky do špatné peněženky.
Typosquatting je obzvláště zajímavý. Pomocí tohoto typu útoku záměrně pojmenovávají škodlivé balíčky tak, aby vypadaly co nejpopulárněji, v naději, že nic netušící uživatel chybně napíše jméno a místo toho omylem nainstaluje škodlivý balíček.
Studie ukázala, že není těžké přidat škodlivé balíčky do jednoho z nejpopulárnějších úložišť a tyto balíčky mohou zůstat bez povšimnutí navzdory značnému počtu stažení. Je třeba poznamenat, že problém není specifický pro RubyGems a vztahuje se na další populární úložiště.
Například v loňském roce identifikovali stejní vědci v úložiště NPM balíček škodlivého nástroje pro tvorbu bb, který používá podobnou techniku spustit spustitelný soubor a ukrást hesla. Před tím byl nalezen backdoor v závislosti na balíčku NPM streamu událostí a škodlivý kód byl stažen přibližně 8 milionůkrát. Škodlivé balíčky se také pravidelně objevují v úložištích PyPI.
Tyto balíčky byly spojeny se dvěma účty skrz které Od 16. února do 25. února 2020 bylo zveřejněno 724 škodlivých paketůs v RubyGems, které byly staženy celkem přibližně 95 tisíckrát.
Vědci informovali správu RubyGems a identifikované malwarové balíčky již byly z úložiště odstraněny.
Tyto útoky nepřímo ohrožují organizace útokem na dodavatele třetích stran, kteří jim poskytují software nebo služby. Protože tito prodejci jsou obecně považováni za důvěryhodné vydavatele, organizace mají tendenci trávit méně času ověřováním, zda balíčky, které konzumují, skutečně neobsahují malware.
Z identifikovaných problémových balíčků byl nejoblíbenější klient atlas, který je na první pohled téměř nerozeznatelný od legitimního balíčku atlas_client. Zadaný balíček byl stažen 2100 6496krát (normální balíček stažen 25krát, to znamená, že se uživatelé zmýlili v téměř XNUMX% případů).
Zbývající balíčky byly staženy v průměru 100–150krát a maskovány pro další balíčky pomocí stejné techniky podtržení a nahrazení pomlčky (například mezi škodlivými pakety: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- sledování replikace, aliyun-open_search, aliyun-mns, ab_split, apns-zdvořilý).
Pokud se chcete o provedené studii dozvědět více, můžete si prohlédnout podrobnosti v následující odkaz.