Prije nekoliko dana Objavljeni istraživači ReversingLabs putem bloga, rezultati analize upotrebe tiposkvotiranja u spremištu RubyGems. Tipično tipostiranje koristi se za distribuciju zlonamjernih paketa dizajniran da omogući nepažljivom programeru da napiše grešku ili ne primijeti razliku.
Studija je otkrila više od 700 paketa, cNjihova su imena slična popularnim paketima i razlikuju se u manjim pojedinostima, na primjer, zamjenom sličnih slova ili upotrebom donjih crta umjesto crtica.
Da bi izbjegli takve mjere, zlonamjerni ljudi uvijek traže nove vektore napada. Jedan takav vektor, nazvan napadom na lanac opskrbe softverom, postaje sve popularniji.
Od analiziranih paketa zabilježeno je da utvrđeno je da više od 400 paketa sadrži sumnjive komponente de zlonamjerna aktivnost. Konkretno, unutar Datoteka je bila aaa.png, koja je sadržavala izvršni kod u PE formatu.
O paketima
Zlonamjerni paketi sadržavali su PNG datoteku koja sadrži izvršnu datoteku za platformu Windows umjesto slike. Datoteka je generirana pomoću uslužnog programa Ocra Ruby2Exe i uključena samoraspakirajuća arhiva s Rubyjevom skriptom i Rubyjevim tumačem.
Prilikom instaliranja paketa, datoteka png preimenovana je u exe i započelo je. Tijekom izvršenja, stvorena je datoteka VBScript koja je dodana u automatsko pokretanje.
Zlonamjerni VBScript naveden u petlji skenirao je sadržaj međuspremnika za informacije slične adresama kripto novčanika i u slučaju otkrivanja zamijenio broj novčanika očekujući da korisnik neće primijetiti razlike i da će sredstva prebaciti u pogrešan novčanik.
Typosquatting je posebno zanimljiv. Koristeći ovu vrstu napada, namjerno imenuju zlonamjerne pakete kako bi što više ličili na popularne, u nadi da će nesuđeni korisnik pogrešno napisati ime i umjesto toga nenamjerno instalirati zlonamjerni paket.
Studija je pokazala da nije teško dodati zlonamjerne pakete u jedno od najpopularnijih spremišta i ti paketi mogu ostati nezapaženi, unatoč značajnom broju preuzimanja. Treba napomenuti da problem nije specifičan za RubyGems i odnosi se na druga popularna spremišta.
Na primjer, prošle godine isti istraživači identificirali su se u spremište od NPM zlonamjeran bb-builder paket koji koristi sličnu tehniku za pokretanje izvršne datoteke za krađu lozinki. Prije toga pronađena je backdoor, ovisno o NPM paketu toka događaja, a zlonamjerni kôd je preuzet približno 8 milijuna puta. Zlonamjerni paketi također se povremeno pojavljuju u spremištima PyPI.
Ovi paketi bili su povezani s dva računa kroz koji, Od 16. do 25. veljače 2020. objavljeno je 724 zlonamjernih paketas u RubyGemsima koji su ukupno preuzeti otprilike 95 tisuća puta.
Istraživači su obavijestili administraciju RubyGems-a i identificirani paketi zlonamjernog softvera već su uklonjeni iz spremišta.
Ti napadi neizravno prijete organizacijama napadajući nezavisne dobavljače koji im pružaju softver ili usluge. Budući da se takvi dobavljači obično smatraju izdavačima kojima vjeruju, organizacije obično troše manje vremena provjeravajući jesu li paketi koje konzumiraju uistinu bez zlonamjernog softvera.
Od identificiranih programskih paketa, najpopularniji je bio klijent atlas, koji se na prvi pogled gotovo ne razlikuje od legitimnog paketa atlas_client. Navedeni paket preuzet je 2100 puta (uobičajeni paket preuzet je 6496 puta, odnosno korisnici su ga pogriješili u gotovo 25% slučajeva).
Preostali paketi preuzimani su u prosjeku 100-150 puta i kamuflirani za ostale pakete koristeći istu tehniku podvlačenja i zamjene crtice (na primjer, između zlonamjernih paketa: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, imovina-cjevovod, imovina-validatori, ar_octopus- praćenje replikacije, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Ako želite znati više o provedenoj studiji, možete potražiti detalje u sljedeći link.