Meatzaritzarako erabilitako 700 pakete maltzur baino gehiago detektatu ziren RubyGems-en

Duela egun batzuk ReversingLabs ikertzaileek kaleratu dute blogeko mezu baten bidez, typosquatting-aren erabileraren analisiaren emaitzak RubyGems biltegian. Normalean typosquatting pakete maltzurrak banatzeko erabiltzen da diseinatu da arretarik gabeko garatzaileei errore bat idatzi edo aldea ez nabaritzeko.

Ikerketak 700 pakete baino gehiago agerian utzi zituen, cHaien izenak pakete ezagunen antzekoak dira eta xehetasun txikietan bereizten dira, adibidez, antzeko letrak ordezkatuz edo marratxoen ordez marratxoak erabiliz.

Horrelako neurriak ekiditeko, pertsona maltzurrak eraso bektore berrien bila dabiltza beti. Horrelako bektore bat, software hornikuntza katearen erasoa deitua, gero eta ezagunagoa da.

Aztertu ziren paketeen artean, hori adierazi zen osagai susmagarriak zituzten 400 pakete baino gehiago identifikatu ziren dJarduera maltzurra. Bereziki, Fitxategia aaa.png zen, kode exekutagarria PE formatuan.

Paketeei buruz

Pakete gaiztoen artean fitxategi exekutagarria duen PNG fitxategia zegoen Windows plataformarako irudiaren ordez. Fitxategia Ocra Ruby2Exe erabilgarritasuna erabiliz sortu zen eta sartu egin zen auto-erauzketa artxiboa, Ruby gidoiarekin eta Ruby interpretatzailearekin.

Paketea instalatzerakoan, png fitxategiari exe izena aldatu zaio eta hasi zen. Exekuzioan zehar, VBScript fitxategi bat sortu zen eta autoabiarazteko gehitu zen.

Begizta batean zehaztutako VBScript maltzurrak arbelaren edukia eskaneatu zuen kripto zorroen helbideen antzeko informazioa aurkitzeko eta detektatu ezkero, zorroaren zenbakia ordezkatu zuen erabiltzaileak desberdintasunak nabarituko ez zituela eta funtsak zorro okerrera transferituko zituela.

Typosquatting bereziki interesgarria da. Eraso mota hau erabiliz, nahita izendatzen dituzte pakete maltzurrak ahalik eta ezagunenen antza izateko, espero ez duen erabiltzaileak izena oker idatziko duelako eta nahi gabe pakete maltzurra instalatuko duen itxaropenarekin.

Ikerketak erakutsi du ez dela zaila pakete maltzurrak biltegi ezagunenetako batean gehitzea eta pakete horiek oharkabean pasa daitezke, deskarga ugari egin arren. Kontuan izan behar da arazoa ez dela RubyGems-erako espezifikoa eta beste biltegi ezagunei aplikatzen zaiela.

Adibidez, iaz, ikertzaile berak identifikatu zuten biltegia NPM antzeko teknika erabiltzen duen bb-builder pakete maltzurra pasahitzak lapurtzeko fitxategi exekutagarria exekutatzeko. Aurretik, atzeko atea aurkitu zen gertaeraren korrontearen NPM paketearen arabera eta kode kaltegarria gutxi gorabehera 8 milioi aldiz deskargatu zen. Pakete kaltegarriak aldian-aldian agertzen dira PyPI biltegietan.

Pakete hauek bi konturekin lotzen ziren horren bidez, 16ko otsailaren 25tik otsailaren 2020era 724 pakete maltzur argitaratu zirenRubyGems-en, guztira 95 aldiz deskargatu ziren guztira.

Ikertzaileek RubyGems administrazioari jakinarazi diote eta identifikatutako malware paketeak dagoeneko kendu dira biltegitik.

Eraso horiek zeharka mehatxatzen dituzte erakundeak, softwarea edo zerbitzuak eskaintzen dizkieten hirugarren saltzaileei eraso eginez. Saltzaile horiek orokorrean argitaratzaile fidagarritzat hartzen direnez, erakundeek denbora gutxiago igarotzen dute kontsumitzen dituzten paketeak malwarearik ez dutela benetan egiaztatzen.

Identifikatutako arazo paketeen artean, ezagunena atlas-bezeroa izan zen, hau da, lehen begiratuan ia bereizten ez den atlas_client pakete legitimotik. Zehaztutako paketea 2100 aldiz deskargatu da (pakete normala 6496 aldiz deskargatu da, hau da, erabiltzaileek oker egin dute kasuen ia% 25ean).

Gainerako paketeak batez beste 100-150 aldiz deskargatu ziren eta kamuflatu egin ziren beste pakete batzuetarako azpimarratzeko eta marratxoak ordezkatzeko teknika bera erabiliz (adibidez, pakete gaiztoen artean: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).

Egindako azterketari buruz gehiago jakin nahi baduzu, xehetasunak kontsultatu ditzakezu honako esteka. 


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.