Pochi giorni fa il I ricercatori di ReversingLabs rilasciati attraverso un post sul blog, risultati di un'analisi dell'uso del typosquatting nel repository RubyGems. Tipicamente typosquatting utilizzato per distribuire pacchetti dannosi progettato per consentire allo sviluppatore disattento di fare un errore di battitura o non notare la differenza.
Lo studio ha rivelato più di 700 pacchetti, cI loro nomi sono simili a pacchetti popolari e differiscono per dettagli minori, ad esempio, sostituendo lettere simili o utilizzando trattini bassi invece di trattini.
Per evitare tali misure, i malintenzionati sono sempre alla ricerca di nuovi vettori di attacco. Uno di questi vettori, chiamato attacco alla catena di fornitura del software, sta diventando sempre più popolare.
Dei pacchetti che sono stati analizzati, è stato notato che più di 400 pacchetti sono stati identificati come contenenti componenti sospetti de attività dannose. In particolare, all'interno del Il file era aaa.png, che includeva codice eseguibile in formato PE.
Informazioni sui pacchetti
I pacchetti dannosi includevano un file PNG contenente un file eseguibile per la piattaforma Windows invece di un'immagine. Il file è stato generato utilizzando l'utilità Ocra Ruby2Exe e incluso un archivio autoestraente con uno script Ruby e un interprete Ruby.
Durante l'installazione del pacchetto, il file png è stato rinominato exe ed è iniziato. Durante l'esecuzione, un file VBScript è stato creato e aggiunto all'avvio automatico.
Il VBScript dannoso specificato in un ciclo ha scansionato il contenuto degli appunti per informazioni simili agli indirizzi del portafoglio crittografico e, in caso di rilevamento, ha sostituito il numero del portafoglio con l'aspettativa che l'utente non notasse le differenze e trasferisse i fondi al portafoglio sbagliato.
Il typosquatting è particolarmente interessante. Usando questo tipo di attacco, nominano intenzionalmente i pacchetti dannosi in modo che assomiglino il più possibile a quelli popolari, nella speranza che un utente ignaro sbaglierà il nome e installerà inavvertitamente il pacchetto dannoso.
Lo studio ha dimostrato che non è difficile aggiungere pacchetti dannosi a uno dei repository più popolari e questi pacchetti possono passare inosservati, nonostante un numero significativo di download. Va notato che il problema non è specifico di RubyGems e si applica ad altri repository popolari.
Ad esempio, l'anno scorso, gli stessi ricercatori identificati in il repository di NPM un pacchetto bb-builder dannoso che utilizza una tecnica simile per eseguire un file eseguibile per rubare le password. In precedenza, è stata trovata una backdoor a seconda del pacchetto NPM del flusso di eventi e il codice dannoso è stato scaricato circa 8 milioni di volte. Anche i pacchetti dannosi vengono visualizzati periodicamente nei repository PyPI.
Questi pacchetti erano associati a due account attraverso il quale, Dal 16 al 25 febbraio 2020 sono stati pubblicati 724 pacchetti dannosis in RubyGems che in totale sono stati scaricati circa 95 mila volte.
I ricercatori hanno informato l'amministrazione di RubyGems e i pacchetti malware identificati sono già stati rimossi dal repository.
Questi attacchi minacciano indirettamente le organizzazioni attaccando fornitori di terze parti che forniscono loro software o servizi. Poiché tali fornitori sono generalmente considerati editori affidabili, le organizzazioni tendono a dedicare meno tempo alla verifica che i pacchetti che consumano siano veramente privi di malware.
Dei pacchetti problematici identificati, il più popolare era il client atlante, che a prima vista è quasi indistinguibile dal legittimo pacchetto atlas_client. Il pacchetto specificato è stato scaricato 2100 volte (pacchetto normale scaricato 6496 volte, cioè gli utenti hanno sbagliato in quasi il 25% dei casi).
I pacchetti rimanenti sono stati scaricati in media 100-150 volte e camuffati per altri pacchetti utilizzando la stessa tecnica di sottolineatura e sostituzione del trattino (ad esempio, tra pacchetti dannosi: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Se vuoi saperne di più sullo studio svolto, puoi consultare i dettagli nel seguente link