Sawetara dina kepungkur ing Peneliti ReversingLabs dirilis liwat postingan blog, asil analisis panggunaan typosquatting ing repositori RubyGems. Biasane typosquatting digunakake kanggo nyebarake paket angkoro dirancang kanggo ngidini pangembang sing ora peduli nggawe typo utawa ora weruh bedane.
Panliten kasebut mbukak luwih saka 700 paket, cJenenge padha karo paket populer lan beda-beda ing rincian cilik, kayata, ngganti huruf sing padha utawa nggunakake garis ngisor, dudu tandha tandha.
Kanggo ngindhari tumindak kaya ngono, wong durjana mesthi golek vektor serangan anyar. Siji vektor kasebut, diarani serangan rantai pasokan piranti lunak, dadi saya populer.
Saka paket sing dianalisis, dicathet manawa luwih saka 400 paket diidentifikasi ngemot komponen sing curiga de kegiatan angkoro. Utamane, ing File kasebut aaa.png, sing kalebu kode eksekusi ing format PE.
Babagan paket
Paket angkoro kasebut kalebu file PNG sing ngemot file sing bisa dieksekusi kanggo platform Windows tinimbang gambar. File kasebut digawe nggunakake utilitas Ocra Ruby2Exe lan kalebu arsip ngekstrak dhiri kanthi skrip Ruby lan juru basa Ruby.
Nalika nginstal paket, file png diganti jeneng dadi exe lan diwiwiti. Sajrone eksekusi, file VBScript digawe lan ditambahake menyang autostart.
VBScript mbebayani sing ditemtokake ing daur ulang mindai konten clipboard kanggo informasi sing padha karo alamat dompet crypto lan yen dideteksi, ngganti nomer dompet kanthi ngarep-arep pangguna ora bakal weruh bedane lan bakal ngirim dana menyang dompet sing salah.
Typosquatting pancen menarik. Nggunakake jinis serangan iki, kanthi sengaja ngarani paket angkoro supaya bisa uga kaya sing populer, kanthi pangarep-arep manawa pangguna sing ora curiga bakal salah nulis jeneng kasebut lan nginstal paket jahat kanthi ora sengaja.
Panliten kasebut nuduhake manawa ora angel nambah paket angkoro menyang salah sawijining repositori sing paling populer lan paket kasebut bisa dingerteni, sanajan ana undhuhan sing signifikan. Perlu dielingi manawa masalah kasebut ora khusus kanggo RubyGems lan ditrapake kanggo repositori populer liyane.
Contone, taun kepungkur, peneliti sing padha ngidentifikasi ing gudang saka NPM paket bb-builder jahat sing nggunakake teknik sing padha kanggo mbukak file sing bisa dieksekusi kanggo nyolong sandhi. Sadurunge, panelusur mburi ditemokake gumantung saka paket NPM stream acara lan kode angkoro didownload udakara 8 yuta kaping. Paket gawe piala uga katon sacara periodik ing repositori PyPI.
Paket kasebut padha digandhengake karo rong akun liwat, Wiwit tanggal 16 Februari nganti 25 Februari 2020, 724 paket angkoro diterbitakes ing RubyGems sing total didownload udakara 95 ewu kaping.
Peneliti wis menehi informasi babagan administrasi RubyGems lan paket malware sing wis diidentifikasi wis dicopot saka repositori kasebut.
Serangan kasebut kanthi ora langsung ngancam organisasi kanthi nyerang vendor pihak katelu sing menehi piranti lunak utawa layanan. Amarga vendor kasebut umume dianggep penerbit sing dipercaya, organisasi cenderung ora mbutuhake wektu luwih suwe kanggo verifikasi manawa paket sing dikonsumsi pancen bebas saka malware.
Saka paket masalah sing diidentifikasi, sing paling populer yaiku atlas-client, sing sepisanan meh ora bisa dibedakake saka paket atlas_client sing sah. Paket sing ditemtokake diunduh 2100 kaping (paket normal diunduh 6496 kaping, yaiku, pangguna nggawe kesalahan ing meh 25% kasus).
Paket sing isih ana diunduh rata-rata 100-150 kaping lan disamarkan kanggo paket liyane nggunakake teknik panggolekan garis pusat lan hyphen sing padha (contone, antarane paket angkoro: appium-lib, action-mailer_cache_delivery, aktifmodel_validators, asciidoctor_bibliography, pipa aset, validator aset, pelacakan replikasi ar_octopus, aliyun-open_search, aliyun-mns, ab_split, apns-sopan).
Yen sampeyan pengin ngerti luwih lengkap babagan panelitian sing ditindakake, sampeyan bisa mriksa rincian ing link ing ngisor iki.
Dadi pisanan komentar