数日前 ReversingLabsの研究者がリリース ブログ投稿を通じて、 タイポスクワットの使用の分析結果 RubyGemsリポジトリにあります。 通常、タイプミス 悪意のあるパッケージを配布するために使用されます 不注意な開発者がタイプミスをしたり、違いに気づかなかったりできるように設計されています。
この調査により、700を超えるパッケージが明らかになりました。cそれらの名前は人気のあるパッケージに似ており、細部が異なります。たとえば、類似した文字を置き換えたり、ハイフンの代わりに下線を使用したりします。
このような対策を回避するために、悪意のある人々は常に新しい攻撃ベクトルを探しています。 ソフトウェアサプライチェーン攻撃と呼ばれるそのようなベクトルのXNUMXつは、ますます人気が高まっています。
分析されたパッケージのうち、 400を超えるパッケージが疑わしいコンポーネントを含むものとして識別されたde悪意のある活動。 特に、 ファイルはaaa.pngで、PE形式の実行可能コードが含まれていました。
パッケージについて
悪意のあるパッケージには、実行可能ファイルを含むPNGファイルが含まれていました イメージの代わりにWindowsプラットフォーム用。 このファイルは、Ocra Ruby2Exeユーティリティを使用して生成され、含まれています RubyスクリプトとRubyインタープリターを備えた自己抽出アーカイブ.
パッケージをインストールすると、pngファイルの名前がexeに変更されました そしてそれが始まりました。 実行中、 VBScriptファイルが作成され、自動起動に追加されました.
ループで指定された悪意のあるVBScriptは、暗号ウォレットアドレスに類似した情報についてクリップボードのコンテンツをスキャンし、検出された場合、ユーザーが違いに気付かずに資金を転送することを期待してウォレット番号を置き換えました間違った財布に。
タイポスクワットは特に興味深いものです。 このタイプの攻撃を使用して、疑いを持たないユーザーが名前のつづりを間違え、代わりに悪意のあるパッケージを誤ってインストールすることを期待して、意図的に悪意のあるパッケージにできるだけ人気のあるパッケージに似た名前を付けます。
この調査では、最も人気のあるリポジトリのXNUMXつに悪意のあるパッケージを追加することは難しくないことが示されました。 そして、これらのパッケージは、かなりの数のダウンロードにもかかわらず、見過ごされる可能性があります。 この問題はRubyGemsに固有のものではなく、他の一般的なリポジトリにも当てはまることに注意してください。
たとえば、昨年、同じ研究者が のリポジトリ NPMは、同様の手法を使用する悪意のあるbb-builderパッケージです パスワードを盗むために実行可能なファイルを実行します。 これ以前は、イベントストリームのNPMパッケージに応じてバックドアが見つかり、悪意のあるコードが約8万回ダウンロードされていました。 悪意のあるパッケージは、PyPIリポジトリにも定期的に表示されます。
これらのパッケージ それらはXNUMXつのアカウントに関連付けられていました それを通して、 16年25月2020日から724月XNUMX日までに、XNUMX個の悪意のあるパケットが公開されました合計で約95回ダウンロードされたRubyGemsの。
研究者はRubyGemsの管理者に通知しており、特定されたマルウェアパッケージはすでにリポジトリから削除されています。
これらの攻撃は、ソフトウェアまたはサービスを提供するサードパーティベンダーを攻撃することにより、間接的に組織を脅かします。 このようなベンダーは一般に信頼できる発行元と見なされるため、組織は、消費するパッケージに本当にマルウェアが含まれていないことを確認するために費やす時間が少なくなる傾向があります。
特定された問題パッケージの中で、最も人気があったのはアトラスクライアントでした。 一見すると、正規のatlas_clientパッケージとほとんど区別がつきません。 指定されたパッケージは2100回ダウンロードされました(通常のパッケージは6496回ダウンロードされました。つまり、ユーザーはほぼ25%のケースで間違っていました)。
残りのパッケージは平均100〜150回ダウンロードされ、他のパッケージ用に偽装されました 同じ下線とハイフンの置換手法を使用します(たとえば、悪意のあるパケット間: appium-lib、action-mailer_cache_delivery、activemodel_validators、asciidoctor_bibliography、assets-pipeline、assets-validators、ar_octopus-レプリケーショントラッキング、aliyun-open_search、aliyun-mns、ab_split、apns-polite).
実施された調査について詳しく知りたい場合は、 次のリンク。