Vor ein paar Tagen die ReversingLabs-Forscher freigelassen durch einen Blog-Beitrag, Ergebnisse einer Analyse der Verwendung von Tippfehlern im RubyGems-Repository. Typischerweise Tippfehler wird verwendet, um schädliche Pakete zu verteilen Entwickelt, damit der unbeaufsichtigte Entwickler einen Tippfehler machen oder den Unterschied nicht bemerken kann.
Die Studie ergab mehr als 700 Pakete, cIhre Namen ähneln gängigen Paketen und unterscheiden sich in kleinen Details, z. B. durch Ersetzen ähnlicher Buchstaben oder durch Unterstriche anstelle von Bindestrichen.
Um solche Maßnahmen zu vermeiden, suchen böswillige Personen immer nach neuen Angriffsmethoden. Ein solcher Vektor, der als Software Supply Chain Attack bezeichnet wird, wird immer beliebter.
Von den Paketen, die analysiert wurden, wurde festgestellt, dass Es wurde festgestellt, dass mehr als 400 Pakete verdächtige Komponenten enthalten. dDie böswillige Aktivität. Insbesondere innerhalb der Die Datei war aaa.png, die ausführbaren Code im PE-Format enthielt.
Über Pakete
Die Schadpakete enthielten eine PNG-Datei, die eine ausführbare Datei enthielt für die Windows-Plattform anstelle eines Images. Die Datei wurde mit dem Dienstprogramm Ocra Ruby2Exe erstellt und enthalten Ein selbstextrahierendes Archiv mit einem Ruby-Skript und einem Ruby-Interpreter.
Bei der Installation des Pakets wurde die PNG-Datei in exe umbenannt und es fing an. Während der Ausführung Eine VBScript-Datei wurde erstellt und zum Autostart hinzugefügt.
Das in einer Schleife angegebene böswillige VBScript durchsuchte den Inhalt der Zwischenablage nach Informationen, die den Crypto-Wallet-Adressen ähnlich sind, und ersetzte im Falle einer Erkennung die Wallet-Nummer mit der Erwartung, dass der Benutzer die Unterschiede nicht bemerkt und das Geld überweist in die falsche Brieftasche.
Tippfehler sind besonders interessant. Mit dieser Art von Angriff benennen sie absichtlich bösartige Pakete, um so populär wie möglich auszusehen, in der Hoffnung, dass ein ahnungsloser Benutzer den Namen falsch schreibt und stattdessen versehentlich das bösartige Paket installiert.
Die Studie hat gezeigt, dass es nicht schwierig ist, einem der beliebtesten Repositorys schädliche Pakete hinzuzufügen und diese Pakete können trotz einer erheblichen Anzahl von Downloads unbemerkt bleiben. Es ist zu beachten, dass das Problem nicht spezifisch für RubyGems ist und auch für andere beliebte Repositorys gilt.
Zum Beispiel haben letztes Jahr dieselben Forscher in identifiziert das Repository von NPM ist ein bösartiges BB-Builder-Paket, das eine ähnliche Technik verwendet um eine ausführbare Datei auszuführen, um Passwörter zu stehlen. Zuvor wurde abhängig vom NPM-Paket des Ereignisstroms eine Hintertür gefunden, und der Schadcode wurde ungefähr 8 Millionen Mal heruntergeladen. Schädliche Pakete werden auch regelmäßig in den PyPI-Repositorys angezeigt.
Diese Pakete Sie waren mit zwei Konten verbunden durch welches, Vom 16. bis 25. Februar 2020 wurden 724 Schadpakete veröffentlichts in RubyGems, die insgesamt ungefähr 95 Mal heruntergeladen wurden.
Forscher haben die RubyGems-Administration informiert und die identifizierten Malware-Pakete wurden bereits aus dem Repository entfernt.
Diese Angriffe bedrohen Unternehmen indirekt, indem sie Drittanbieter angreifen, die ihnen Software oder Dienste zur Verfügung stellen. Da solche Anbieter im Allgemeinen als vertrauenswürdige Herausgeber gelten, verbringen Unternehmen weniger Zeit damit, zu überprüfen, ob die von ihnen verwendeten Pakete wirklich frei von Malware sind.
Von den identifizierten Problempaketen war das beliebteste der Atlas-Client, was auf den ersten Blick kaum von dem legitimen atlas_client-Paket zu unterscheiden ist. Das angegebene Paket wurde 2100 Mal heruntergeladen (normales Paket 6496 Mal heruntergeladen, dh Benutzer haben es in fast 25% der Fälle falsch verstanden).
Die restlichen Pakete wurden durchschnittlich 100-150 Mal heruntergeladen und für andere Pakete getarnt Verwenden derselben Technik zum Unterstreichen und Ersetzen von Bindestrichen (z. B. zwischen schädlichen Paketen: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, Assets-Pipeline, Assets-Validatoren, Ar_octopus-Replikations-Tracking, Aliyun-Open_Search, Aliyun-Mn, Ab_Split, Apns-Höflichkeit).
Wenn Sie mehr über die durchgeführte Studie erfahren möchten, können Sie die Details im konsultieren folgenden Link