Antaŭ kelkaj tagoj la Esploristoj de ReversingLabs liberigis per bloga afiŝo, rezultoj de analizo de la uzo de tajpa tajpado en la deponejo RubyGems. Tipe tajperaro kutimis distribui malican pakaĵojn desegnita por permesi al la neatenta programisto fari preseraron aŭ ne rimarki la diferencon.
La studo malkaŝis pli ol 700 pakojn, ĉIliaj nomoj similas al popularaj pakaĵoj kaj malsamas laŭ etaj detaloj, ekzemple anstataŭigante similajn literojn aŭ uzante substrekojn anstataŭ streketoj.
Por eviti tiajn rimedojn, malicaj homoj ĉiam serĉas novajn atakvektorojn. Unu tia vektoro, nomata softvara proviza ĉenatako, fariĝas ĉiam pli populara.
El la analizitaj pakaĵoj, oni rimarkis tion pli ol 400 pakoj estis identigitaj kiel enhavantaj suspektindajn erojn dMalica agado. Precipe ene de la La dosiero estis aaa.png, kiu inkluzivis plenumeblan kodon en formato PE.
Pri pakoj
La malicaj pakoj inkluzivis PNG-dosieron enhavantan plenumeblan dosieron por la Vindoza platformo anstataŭ bildo. La dosiero estis generita per la utileco Ocra Ruby2Exe kaj inkluzivita memĉerpa arkivo kun Ruby-skripto kaj Ruby-interpretisto.
Kiam vi instalis la pakaĵon, la png-dosiero estis alinomita al exe kaj ĝi komenciĝis. Dum ekzekuto, VBScript-dosiero estis kreita kaj aldonita al aŭtomata ekigo.
La malica VBScript specifita en buklo skanis la tondujan enhavon por informoj similaj al kriptaj monujaj adresoj kaj en kazo de detekto, anstataŭigis la monujan numeron kun la atendo, ke la uzanto ne rimarkos la diferencojn kaj transdonos la monojn al la malĝusta monujo.
Tajpokvartado estas aparte interesa. Uzante ĉi tian atakon, ili intence nomas malicajn pakojn por aspekti kiel eble plej popularaj, esperante, ke sensuspekta uzanto misliterumos la nomon kaj pretervole instalos la malican pakon anstataŭe.
La studo montris, ke ne malfacilas aldoni malicajn pakojn al unu el la plej popularaj deponejoj kaj ĉi tiuj pakoj povas pasi nerimarkitaj, malgraŭ grava nombro da elŝutoj. Notindas, ke la afero ne estas specifa por RubyGems kaj validas por aliaj popularaj deponejoj.
Ekzemple, pasintjare la samaj esploristoj identigis en la deponejo de NPM malica bb-konstrua pako, kiu uzas similan teknikon ruli plenumeblan dosieron por ŝteli pasvortojn. Antaŭ tio, malantaŭa pordo estis trovita depende de la evento-flua NPM-pako kaj la malica kodo estis elŝutita ĉirkaŭ 8 milionojn da fojoj. Malicaj pakoj ankaŭ aperas periode en la deponejoj PyPI.
Ĉi tiuj pakoj ili estis asociitaj kun du kontoj per kiu, De la 16-a ĝis la 25-a de februaro 2020, 724 malicaj pakaĵoj estis publikigitajEn RubyGems, kiuj entute estis elŝutitaj ĉirkaŭ 95 mil fojojn.
Esploristoj informis RubyGems-administradon kaj la identigitaj malware-pakaĵoj jam estis forigitaj de la deponejo.
Ĉi tiuj atakoj nerekte minacas organizojn atakante triajn vendistojn, kiuj provizas al ili programojn aŭ servojn. Ĉar tiaj vendistoj estas ĝenerale konsiderataj fidindaj eldonistoj, organizoj emas pasigi malpli da tempo kontrolante, ke la pakaĵoj, kiujn ili konsumas, estas vere liberaj de malware.
El la identigitaj problemaj pakaĵoj, la plej populara estis la atlaso-kliento, kiu unuavide estas preskaŭ nedistingebla de la laŭleĝa pakaĵo atlas_client. La specifa pakaĵo estis elŝutita 2100 fojojn (la normala pakaĵo estis elŝutita 6496 fojojn, do uzantoj faris eraron en preskaŭ 25% de la kazoj).
La ceteraj pakaĵoj averaĝe estis elŝutitaj 100-150 fojojn kaj kamuflitaj por aliaj pakaĵoj uzante la saman substrekan kaj streketan anstataŭigan teknikon (ekzemple, inter malicaj pakoj: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Se vi volas scii pli pri la studo realigita, vi povas konsulti la detalojn en la sekva ligilo.
Estu la unua por komenti