For et par dage siden blev ReversingLabs forskere frigivet gennem et blogindlæg, resultater af en analyse af brugen af typosquatting i RubyGems-arkivet. Typisk typografisk hukommelse bruges til at distribuere ondsindede pakker designet til at give den uopmærksomme udvikler mulighed for at lave en tastefejl eller ikke mærke forskellen.
Undersøgelsen afslørede mere end 700 pakker, ca.Deres navne ligner populære pakker og adskiller sig i mindre detaljer, for eksempel ved at erstatte lignende bogstaver eller bruge understregninger i stedet for bindestreger.
For at undgå sådanne foranstaltninger er ondsindede altid på udkig efter nye angrebsvektorer. En sådan vektor, kaldet et softwareforsyningskædeangreb, bliver stadig mere populær.
Af de pakker, der blev analyseret, blev det bemærket, at mere end 400 pakker blev identificeret som indeholdende mistænkelige komponenter de ondsindet aktivitet. Især inden for Filen var aaa.png, som indeholdt eksekverbar kode i PE-format.
Om pakker
De ondsindede pakker indeholdt en PNG-fil indeholdende en eksekverbar fil til Windows-platformen i stedet for et billede. Filen blev genereret ved hjælp af Ocra Ruby2Exe-værktøjet og inkluderet et selvudpakkende arkiv med et Ruby-script og en Ruby-tolk.
Ved installation af pakken blev png-filen omdøbt til exe og det startede. Under henrettelse en VBScript-fil blev oprettet og føjet til autostart.
Det ondsindede VBScript, der er specificeret i en sløjfe, scannede udklipsholderens indhold for information, der ligner krypto-tegnebog-adresser, og i tilfælde af detektion erstattede tegnebognummeret med forventningen om, at brugeren ikke ville bemærke forskellene og ville overføre pengene til den forkerte tegnebog.
Typosquatting er særlig interessant. Ved hjælp af denne type angreb navngiver de med vilje ondsindede pakker, så de ligner populære som muligt, i håb om, at en intetanende bruger vil stave forkert navnet og i stedet udilsigtet installere den ondsindede pakke.
Undersøgelsen viste, at det ikke er vanskeligt at tilføje ondsindede pakker til et af de mest populære arkiver og disse pakker kan gå ubemærket hen på trods af et betydeligt antal downloads. Det skal bemærkes, at problemet ikke er specifikt for RubyGems og gælder for andre populære arkiver.
For eksempel identificerede de samme forskere sidste år i arkivet for NPM en ondsindet bb-builder-pakke, der bruger en lignende teknik at køre en eksekverbar fil for at stjæle adgangskoder. Før dette blev der fundet en bagdør afhængigt af begivenhedsstrømmen NPM, og den ondsindede kode blev downloadet ca. 8 millioner gange. Ondsindede pakker vises også med jævne mellemrum i PyPI-arkiverne.
Disse pakker de var knyttet til to konti gennem hvilken, Fra 16. februar til 25. februar 2020 blev 724 ondsindede pakker offentliggjorts i RubyGems, der i alt blev downloadet ca. 95 tusind gange.
Forskere har informeret RubyGems-administrationen, og de identificerede malware-pakker er allerede fjernet fra lageret.
Disse angreb truer indirekte organisationer ved at angribe tredjepartsleverandører, der leverer software eller tjenester. Da sådanne leverandører generelt betragtes som pålidelige udgivere, har organisationer en tendens til at bruge mindre tid på at kontrollere, at de pakker, de bruger, virkelig er fri for malware.
Af de identificerede problempakker var atlas-klienten den mest populære, som ved første øjekast næsten ikke skelnes fra den legitime atlas_client-pakke. Den specificerede pakke blev downloadet 2100 gange (normal pakke downloadet 6496 gange, det vil sige, brugere fik det forkert i næsten 25% af tilfældene).
De resterende pakker blev gennemsnitligt downloadet 100-150 gange og camoufleret til andre pakker ved hjælp af den samme understregning og udskiftning af bindestreg (f.eks. mellem ondsindede pakker: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-høflig).
Hvis du vil vide mere om den gennemførte undersøgelse, kan du se detaljerne i følgende link.