بیش از 700 بسته مخرب مورد استفاده برای استخراج در RubyGems کشف شد

چند روز پیش محققان ReversingLabs آزاد شدند از طریق یک پست وبلاگ ، نتایج حاصل از تجزیه و تحلیل استفاده از typosquatting در مخزن RubyGems. به طور معمول تایپ کردن برای توزیع بسته های مخرب استفاده می شود طراحی شده است تا به توسعه دهنده بی توجه اجازه اشتباه تایپی بدهد یا تفاوت را متوجه نشود.

این مطالعه نشان داد بیش از 700 بسته ، جنام آنها شبیه بسته های محبوب است و در جزئیات جزئی متفاوت است ، به عنوان مثال ، جایگزینی حروف مشابه یا استفاده از زیر خط به جای خط خط.

برای جلوگیری از چنین اقداماتی ، افراد بدخواه همیشه به دنبال وکتورهای حمله جدید هستند. یکی از این بردارها که به آن حمله زنجیره تأمین نرم افزار می گویند ، محبوبیت روزافزونی پیدا می کند.

از بسته هایی که مورد تجزیه و تحلیل قرار گرفت ، اشاره شد که بیش از 400 بسته حاوی اجزای مشکوک شناسایی شدفعالیت مخرب به طور خاص ، در فایل aaa.png بود که شامل کد اجرایی با فرمت PE بود.

درباره بسته ها

بسته های مخرب شامل یک فایل PNG شامل یک فایل اجرایی بود برای سیستم عامل ویندوز به جای تصویر. این فایل با استفاده از ابزار Ocra Ruby2Exe تولید و گنجانده شد بایگانی خود استخراج با اسکریپت روبی و مفسر روبی.

هنگام نصب بسته ، نام فایل png به exe تغییر یافت و شروع شد هنگام اعدام ، یک پرونده VBScript ایجاد شد و به شروع خودکار اضافه شد.

VBScript مخرب مشخص شده در یک حلقه محتوای کلیپ بورد را برای اطلاعات مشابه آدرس کیف پول رمزنگاری اسکن کرده و در صورت تشخیص ، شماره کیف پول را جایگزین می کند با این انتظار که کاربر تفاوت ها را متوجه نشود و وجوه را به کیف پول اشتباه منتقل کند.

تایپ اسکوات به ویژه جالب توجه است. با استفاده از این نوع حمله ، آنها عمداً بسته های مخرب را نامگذاری می كنند تا آنجا كه ممكن است شبیه بسته های محبوب باشند ، به این امید كه یك كاربر ناآگاه نام را غلط بنویسد و به طور ناخواسته بسته مخرب را نصب كند.

این مطالعه نشان داد که افزودن بسته های مخرب به یکی از محبوب ترین مخازن کار دشواری نیست و این بسته ها با وجود تعداد قابل توجهی بارگیری ، می توانند مورد توجه قرار نگیرند. لازم به ذکر است که این مسئله فقط مربوط به RubyGems نیست و در مورد دیگر مخازن محبوب نیز کاربرد دارد.

به عنوان مثال ، در سال گذشته ، همان محققان در مخزن NPM یک بسته مخرب bb-builder است که از روشی مشابه استفاده می کند برای اجرای یک فایل اجرایی برای سرقت رمزهای عبور. قبل از این ، بسته ای از بسته رویداد NPM جریان درب پشتی پیدا شده و کد مخرب تقریباً 8 میلیون بار بارگیری شده است. بسته های مخرب نیز به صورت دوره ای در مخازن PyPI ظاهر می شوند.

این بسته ها آنها با دو حساب مرتبط بودند که از طریق آن، از 16 فوریه تا 25 فوریه 2020 ، 724 بسته مخرب منتشر شددر RubyGems که در کل تقریباً 95 هزار بار بارگیری شده است.

محققان به دولت RubyGems اطلاع داده اند و بسته های مخرب شناسایی شده قبلاً از مخزن حذف شده اند.

این حملات با حمله به فروشندگان شخص ثالث که نرم افزار یا خدمات را به آنها ارائه می دهند ، سازمان ها را به طور غیرمستقیم تهدید می کند. از آنجا که اینگونه فروشندگان عموماً ناشران معتبری در نظر گرفته می شوند ، سازمانها تمایل دارند زمان کمتری را صرف تأیید رایگان بودن بدافزارهای بسته های مصرفی خود کنند.

از میان بسته های مشکل شناسایی شده ، محبوب ترین مورد atlas-client است ، که در نگاه اول تقریباً از بسته قانونی atlas_client قابل تشخیص نیست. بسته مشخص شده 2100 بار بارگیری شد (بسته نرم افزاری 6496 بار بارگیری شد ، یعنی تقریباً در 25٪ موارد کاربران اشتباه کردند).

بسته های باقیمانده به طور متوسط ​​100-150 بار بارگیری شده و برای بسته های دیگر استتار شده است با استفاده از همان روش زیرخط و جایگزینی خط (به عنوان مثال ، بین بسته های مخرب: apium-lib ، action-mailer_cache_delivery ، activemodel_validators ، asciidoctor_bibliography ، دارایی-خط لوله ، دارایی-اعتبارسنج ، ar_octopus- ردیابی تکرار ، aliyun-open_search ، aliyun-mns ، ab_split ، apns- مودبانه).

اگر می خواهید در مورد مطالعه انجام شده بیشتر بدانید ، می توانید با جزئیات در لینک زیر 


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.