RubyGems-те тау-кен жұмыстарына пайдаланылған 700-ден астам зиянды пакеттер анықталды

Бірнеше күн бұрын ReversingLabs зерттеушілері шығарылды блог арқылы, типоскватингтің қолданылуын талдау нәтижелері RubyGems репозиторийінде. Әдетте типоскватинг зиянды пакеттерді тарату үшін қолданылады мұқият емес әзірлеушіге қате жіберуге немесе айырмашылықты байқамауға мүмкіндік беру үшін жасалған.

Зерттеу барысында 700-ден астам пакет анықталды, сОлардың атаулары танымал бумаларға ұқсас және ұсақ бөлшектерімен ерекшеленеді, мысалы, ұқсас әріптерді ауыстыру немесе сызықшалардың орнына астыңғы сызықтарды қолдану.

Мұндай шаралардан аулақ болу үшін қаскөй адамдар әрдайым жаңа шабуыл векторларын іздейді. Бағдарламалық қамтамасыз ету тізбегіне шабуыл деп аталатын осындай векторлардың бірі барған сайын танымал бола бастайды.

Талданған пакеттердің ішінде бұл туралы айтылды құрамында 400-ден астам пакет күдікті компоненттері бар екендігі анықталды de зиянды әрекет. Атап айтқанда, ішінде Файл aaa.png болды, оған PE форматындағы орындалатын код енгізілді.

Пакеттер туралы

Зиянды бумаларға орындалатын файлдан тұратын PNG файлы кірді кескіннің орнына Windows платформасы үшін. Файл Ocra Ruby2Exe утилитасының көмегімен жасалды және оған қосылды Ruby сценарийі және Ruby аудармашысы бар өздігінен шығарылатын мұрағат.

Буманы орнату кезінде png файлы exe болып өзгертілді және ол басталды. Орындау кезінде, VBScript файлы құрылды және автоматты іске қосуға қосылды.

Циклде көрсетілген зиянды VBScript крипто-әмиянның мекен-жайларына ұқсас ақпаратты алмасу буферінің мазмұнын сканерледі және анықталған жағдайда, әмиян нөмірін пайдаланушы айырмашылықтарды байқамайды және қаражатты дұрыс емес әмиянға аударады деп күтті.

Типоскватинг әсіресе қызықты. Шабуылдың осы түрін қолдана отырып, олар зиянды бумаларды мүмкіндігінше танымал пакеттерге ұқсастыру үшін әдейі атайды, бұл күдіктенбейтін пайдаланушы есімді қате жіберіп, оның орнына зиянды буманы абайсызда орнатады деген үмітпен.

Зерттеу көрсеткендей, ең танымал репозиторийлердің біріне зиянды пакеттерді қосу қиын емес және бұл пакеттер жүктеулердің айтарлықтай көп болуына қарамастан байқалмай қалуы мүмкін. Айта кету керек, мәселе RubyGems-ке тән емес және басқа танымал репозитарийлерге қатысты.

Мысалы, өткен жылы дәл сол зерттеушілер репозиторийі Ұқсас техниканы қолданатын зиянды bb-builder пакеті NPM парольдерді ұрлау үшін орындалатын файлды іске қосу үшін. Бұған дейін оқиғалар ағынының NPM пакетіне байланысты артқы есік табылды және зиянды код шамамен 8 миллион рет жүктелді. Зиянды пакеттер мезгіл-мезгіл PyPI репозиторийлерінде пайда болады.

Бұл пакеттер олар екі шотпен байланысты болды ол арқылы, 16 жылғы 25 ақпаннан бастап 2020 ақпанға дейін 724 зиянды пакет шығарылдыRubyGems-те барлығы 95 мың рет жүктелген.

Зерттеушілер RubyGems әкімшілігіне хабарлаған және анықталған зиянды бағдарламалар пакеті репозиторийден жойылған.

Бұл шабуылдар ұйымдарға бағдарламалық жасақтама немесе қызметтер ұсынатын үшінші тарап жеткізушілеріне шабуыл жасау арқылы жанама түрде қауіп төндіреді. Мұндай сатушылар әдетте сенімді баспагерлер болып саналатындықтан, ұйымдар тұтынатын пакеттерде зиянды бағдарламалар жоқтығын тексеруге аз уақыт жұмсайды.

Анықталған проблемалық пакеттердің ішіндегі ең танымал атлас-клиент болды, бұл бір қарағанда заңды atlas_client пакетімен ерекшеленбейді. Көрсетілген бума 2100 рет жүктелген (қалыпты пакет 6496 рет жүктелген, яғни қолданушылар жағдайлардың 25% -ында қате жіберген).

Қалған бумалар орта есеппен 100-150 рет жүктеліп, басқа пакеттерге камуфляж жасалды сызу мен сызықты ауыстырудың бірдей әдісін қолдану (мысалы, зиянды пакеттер арасында: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, активтер құбыры, активтер-валидаторлар, ar_octopus- репликацияны қадағалау, aliyun-open_search, aliyun-mns, ab_split, apns-сыпайы).

Егер сіз жүргізілген зерттеу туралы көбірек білгіңіз келсе, ішіндегі мәліметтермен танысуға болады келесі сілтеме. 


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.