Beberapa hari yang lalu Peneliti ReversingLabs dirilis melalui posting blog, hasil analisis penggunaan typosquatting di repositori RubyGems. Biasanya salah ketik digunakan untuk mendistribusikan paket berbahaya dirancang untuk memungkinkan pengembang tanpa pengawasan membuat kesalahan ketik atau tidak melihat perbedaannya.
Penelitian mengungkapkan lebih dari 700 paket, cNamanya mirip dengan paket populer dan berbeda dalam detail kecil, misalnya, dengan mengganti huruf yang mirip atau menggunakan garis bawah, bukan tanda hubung.
Untuk menghindari tindakan seperti itu, orang jahat selalu mencari vektor serangan baru. Salah satu vektor tersebut, yang disebut serangan rantai pasokan perangkat lunak, menjadi semakin populer.
Dari paket yang dianalisis, tercatat bahwa lebih dari 400 paket diidentifikasi mengandung komponen yang mencurigakan de aktivitas berbahaya. Secara khusus, dalam File tersebut adalah aaa.png, yang menyertakan kode yang dapat dieksekusi dalam format PE.
Tentang paket
Paket berbahaya menyertakan file PNG yang berisi file yang dapat dieksekusi untuk platform Windows, bukan gambar. File tersebut dibuat menggunakan utilitas Ocra Ruby2Exe dan disertakan arsip self-extracting dengan skrip Ruby dan interpreter Ruby.
Saat menginstal paket, file png diubah namanya menjadi exe dan itu dimulai. Selama eksekusi, file VBScript telah dibuat dan ditambahkan ke autostart.
VBScript berbahaya yang ditentukan dalam satu loop memindai konten clipboard untuk informasi yang mirip dengan alamat dompet crypto dan jika terdeteksi, mengganti nomor dompet dengan harapan bahwa pengguna tidak akan melihat perbedaannya dan akan mentransfer dana ke dompet yang salah.
Typosquatting sangat menarik. Dengan menggunakan jenis serangan ini, mereka dengan sengaja menamai paket jahat agar terlihat seperti yang populer mungkin, dengan harapan pengguna yang tidak curiga akan salah mengeja nama dan secara tidak sengaja menginstal paket jahat tersebut.
Studi tersebut menunjukkan bahwa tidak sulit menambahkan paket berbahaya ke salah satu repositori paling populer dan paket-paket ini dapat luput dari perhatian, meskipun ada jumlah unduhan yang signifikan. Perlu dicatat bahwa masalah ini tidak spesifik untuk RubyGems dan berlaku untuk repositori populer lainnya.
Misalnya, tahun lalu, peneliti yang sama mengidentifikasi di repositori NPM adalah paket pembuat-bb berbahaya yang menggunakan teknik serupa untuk menjalankan file yang dapat dieksekusi untuk mencuri sandi. Sebelum ini, backdoor ditemukan tergantung pada paket NPM aliran acara dan kode berbahaya telah diunduh sekitar 8 juta kali. Paket berbahaya juga muncul secara berkala di repositori PyPI.
Paket-paket ini mereka dikaitkan dengan dua akun lewat mana, Dari 16 Februari hingga 25 Februari 2020, 724 paket berbahaya diterbitkans di RubyGems yang diunduh sekitar 95 ribu kali.
Peneliti telah menginformasikan administrasi RubyGems dan paket malware yang teridentifikasi telah dihapus dari repositori.
Serangan ini secara tidak langsung mengancam organisasi dengan menyerang vendor pihak ketiga yang menyediakan perangkat lunak atau layanan kepada mereka. Karena vendor tersebut umumnya dianggap penerbit tepercaya, organisasi cenderung menghabiskan lebih sedikit waktu untuk memverifikasi bahwa paket yang mereka konsumsi sebenarnya bebas malware.
Dari paket masalah yang teridentifikasi, yang paling populer adalah atlas-client, yang pada pandangan pertama hampir tidak bisa dibedakan dengan paket atlas_client yang sah. Paket yang ditentukan diunduh 2100 kali (paket normal diunduh 6496 kali, artinya, pengguna salah di hampir 25% kasus).
Paket yang tersisa diunduh rata-rata 100-150 kali dan disamarkan untuk paket lain menggunakan teknik garis bawah dan penggantian tanda hubung yang sama (misalnya, antara paket berbahaya: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- pelacakan replikasi, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Jika Anda ingin mengetahui lebih banyak tentang studi yang dilakukan, Anda dapat berkonsultasi detailnya di link berikut.