לפני כמה ימים ה- חוקרי ReversingLabs שוחררו באמצעות פוסט בבלוג, תוצאות ניתוח של שימוש בשגיאת שגיאות טיפוסיות במאגר RubyGems. בדרך כלל טיפוס-שיט משמש להפצת חבילות זדוניות נועד לאפשר למפתח הלא קשוב לבצע שגיאת הקלדה או לא להבחין בהבדל.
המחקר גילה יותר מ- 700 חבילות, גשמותיהם דומים לחבילות פופולריות ושונים בפרטים מינוריים, למשל, החלפת אותיות דומות או שימוש בקו תחתון במקום במקפים.
כדי להימנע מאמצעים כאלה, אנשים זדוניים תמיד מחפשים וקטורי התקפה חדשים. וקטור כזה שכונה התקפת שרשרת אספקת תוכנה הופך פופולרי יותר ויותר.
מבין החבילות שנותחו, צוין כי יותר מ -400 חבילות זוהו כמכילות רכיבים חשודיםפעילות זדונית. בפרט, בתוך הקובץ היה aaa.png, שכלל קוד הפעלה בפורמט PE.
על חבילות
החבילות הזדוניות כללו קובץ PNG המכיל קובץ הפעלה לפלטפורמת Windows במקום תמונה. הקובץ נוצר באמצעות כלי השירות Ocra Ruby2Exe ונכלל ארכיון לחילוץ עצמי עם תסריט רובי ומתורגמן של רובי.
בעת התקנת החבילה, שם הקובץ png שונה ל- exe וזה התחיל. במהלך הביצוע, נוצר קובץ VBScript והוסף להפעלה אוטומטית.
ה- VBScript הזדוני שצוין בלולאה סרק את תוכן הלוח לאיתור מידע הדומה לכתובות ארנק הצפנה ובמקרה של גילוי, החליף את מספר הארנק בציפייה שהמשתמש לא יבחין בהבדלים ויעביר את הכספים. לארנק הלא נכון.
טיפוס-קווטינג מעניין במיוחד. באמצעות מתקפה מסוג זה הם מכנים בכוונה חבילות זדוניות כדי להיראות כמו פופולריות ככל האפשר, בתקווה שמשתמש חסר חשד יתפוס את השם באופן שגוי ויתקין במקום זאת את החבילה הזדונית.
המחקר הראה כי לא קשה להוסיף חבילות זדוניות לאחד המאגרים הפופולריים ביותר וחבילות אלה יכולות להישאר מבלי משים, למרות מספר משמעותי של הורדות. יש לציין כי הנושא אינו ספציפי ל- RubyGems והוא חל על מאגרים פופולריים אחרים.
לדוגמה, בשנה שעברה, אותם החוקרים זיהו ב המאגר של NPM חבילת bb-builder זדונית המשתמשת בטכניקה דומה להריץ קובץ הפעלה כדי לגנוב סיסמאות. לפני כן, נמצא דלת אחורית בהתאם לחבילת NPM של זרם האירועים והקוד הזדוני הורד כ 8 מיליון פעמים. חבילות זדוניות מופיעות מעת לעת גם במאגרי PyPI.
חבילות אלה הם נקשרו לשני חשבונות שדרכו, בין התאריכים 16 בפברואר עד 25 בפברואר 2020, התפרסמו 724 חבילות זדוניותב- RubyGems שבסך הכל הורדו כ- 95 אלף פעמים.
חוקרים הודיעו לממשל RubyGems וחבילות התוכנה הזדוניות שזוהו כבר הוסרו מהמאגר.
התקפות אלה מאיימות בעקיפין על ארגונים על ידי תקיפת ספקי צד שלישי המספקים להם תוכנה או שירותים. מכיוון שספקים כאלה נחשבים בדרך כלל כבעלי אתרים מהימנים, ארגונים נוטים להשקיע פחות זמן באימות שהחבילות שהם צורכים אינן באמת זדוניות.
מבין חבילות הבעיות שזוהו, הפופולרי ביותר היה לקוח האטלס, אשר כמעט ולא ניתן להבחין במבט ראשון מחבילת ה- atlas_client הלגיטימית. החבילה שצוינה הורדה 2100 פעמים (החבילה הרגילה הורדה 6496 פעמים, כלומר משתמשים טעו כמעט ב 25% מהמקרים).
יתר החבילות הורדו בממוצע 100-150 פעמים והוסוו לחבילות אחרות תוך שימוש באותה טכניקת קו תחתון והחלפת מקף (למשל, בין חבילות זדוניות: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, נכסי-צינור, מאמת נכסים, ar_octopus- שכפול מעקב, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
אם אתה רוצה לדעת יותר על המחקר שבוצע, תוכל להתייעץ עם הפרטים המופיעים ב הקישור הבא.