ពីរបីថ្ងៃមុននេះ អ្នកស្រាវជ្រាវ ReversingLabs បានចេញផ្សាយ តាមរយៈការប្រកាសកំណត់ហេតុបណ្ដាញ, លទ្ធផលនៃការវិភាគនៃការប្រើប្រាស់ការធ្វើត្រាប់តាម នៅក្នុងឃ្លាំង RubyGems ។ ជាធម្មតាការធ្វើត្រាប់តាម បានប្រើដើម្បីចែកចាយកញ្ចប់ដែលមានគំនិតអាក្រក់ បានរចនាឡើងដើម្បីអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍ដេលមិនចាប់អារម្មណ៍បង្កើតផេនទីឬមិនកត់សំគាល់ភាពខុសគ្នា។
ការសិក្សាបានបង្ហាញច្រើនជាង ៧០០ កញ្ចប់, គឈ្មោះរបស់ពួកគេគឺស្រដៀងនឹងកញ្ចប់ប្រជាប្រិយនិងខុសគ្នានៅក្នុងព័ត៌មានលម្អិតតូចឧទាហរណ៍ជំនួសអក្សរស្រដៀងគ្នាឬប្រើសញ្ញាគូសក្រោមសញ្ញាសហសញ្ញា។
ដើម្បីចៀសវាងវិធានការបែបនេះមនុស្សដែលមានគំនិតអាក្រក់តែងតែស្វែងរកវ៉ិចទ័រវាយប្រហារថ្មីៗ។ វ៉ិចទ័រមួយប្រភេទដែលហៅថាការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់សូហ្វវែរកំពុងមានប្រជាប្រិយភាពកាន់តែខ្លាំងឡើង។
ក្នុងចំណោមកញ្ចប់ដែលបានវិភាគវាត្រូវបានគេកត់សម្គាល់ថា កញ្ចប់ច្រើនជាង ៤០០ ត្រូវបានកំណត់ថាមានផ្ទុកសមាសធាតុគួរអោយសង្ស័យឃសកម្មភាពព្យាបាទ។ ជាពិសេសនៅខាងក្នុង ឯកសារគឺ aaa.png ដែលរួមបញ្ចូលលេខកូដដែលអាចប្រតិបត្តិបានក្នុងទំរង់ PE ។
អំពីកញ្ចប់
កញ្ចប់ព្យាបាទរួមមានឯកសារ PNG ដែលផ្ទុកឯកសារដែលអាចប្រតិបត្តិបាន សម្រាប់វេទិកាវីនដូជំនួសឱ្យរូបភាព។ ឯកសារត្រូវបានបង្កើតឡើងដោយប្រើឧបករណ៍ប្រើប្រាស់អូករ៉ារូប៊ី ២ អេចនិងរួមបញ្ចូល ប័ណ្ណសារដកស្រង់ដោយខ្លួនឯងជាមួយស្គ្រីបរូប៊ីនិងអ្នកបកប្រែ Ruby.
នៅពេលដំឡើងកញ្ចប់ឯកសារ png ត្រូវបានប្តូរឈ្មោះទៅជា exe ហើយវាបានចាប់ផ្តើម។ ក្នុងពេលប្រតិបត្តិ ឯកសារ VBScript ត្រូវបានបង្កើតនិងបន្ថែមទៅអូតូស្តូត.
VBScript ដែលមានគំនិតអាក្រក់ដែលបានបញ្ជាក់នៅក្នុងរង្វិលជុំបានស្កេនខ្លឹមសារក្តារតម្បៀតខ្ទាស់សម្រាប់ព័ត៌មានស្រដៀងនឹងអាស័យដ្ឋានកាបូបលុយហើយក្នុងករណីរកឃើញអាចជំនួសលេខកាបូបដោយការរំពឹងទុកថាអ្នកប្រើប្រាស់នឹងមិនកត់សម្គាល់ភាពខុសគ្នាហើយនឹងផ្ទេរប្រាក់ទៅកាបូបខុស។
Typosquatting គួរឱ្យចាប់អារម្មណ៍ជាពិសេស។ ប្រើប្រភេទនៃការវាយប្រហារនេះពួកគេមានចេតនាដាក់ឈ្មោះកញ្ចប់ព្យាបាទឱ្យមើលទៅដូចអ្វីដែលពេញនិយមតាមដែលអាចធ្វើទៅបានដោយសង្ឃឹមថាអ្នកប្រើដែលមិនបានរំពឹងទុកនឹងភ្លេចឈ្មោះហើយតំឡើងកញ្ចប់ព្យាបាទជំនួសវិញ។
ការសិក្សាបានបង្ហាញថាវាមិនពិបាកទេក្នុងការបន្ថែមកញ្ចប់ព្យាបាទទៅឃ្លាំងមួយដែលមានប្រជាប្រិយបំផុត ហើយកញ្ចប់ទាំងនេះអាចមិនមានការកត់សំគាល់ទោះបីជាចំនួននៃការទាញយកមានច្រើនក៏ដោយ។ គួរកត់សំគាល់ថាបញ្ហានេះមិនមានលក្ខណៈជាក់លាក់ចំពោះ RubyGems ទេហើយត្រូវបានអនុវត្តចំពោះឃ្លាំងប្រជាប្រិយដទៃទៀត។
ឧទាហរណ៍កាលពីឆ្នាំមុនអ្នកស្រាវជ្រាវដដែលបានកំណត់អត្តសញ្ញាណ ឃ្លាំងរបស់ NPM កញ្ចប់ប៊ីប៊ីដែលមានគំនិតអាក្រក់ដែលប្រើបច្ចេកទេសស្រដៀងគ្នា ដើម្បីដំណើរការឯកសារដែលអាចប្រតិបត្តិដើម្បីលួចពាក្យសម្ងាត់។ មុនពេលនេះ, Backdoor មួយត្រូវបានគេរកឃើញអាស្រ័យលើកញ្ចប់ព្រឹត្តិការណ៍ NPM និងកូដព្យាបាទត្រូវបានទាញយកប្រមាណ ៨ លានដង។ កញ្ចប់ព្យាបាទក៏លេចឡើងជាប្រចាំនៅក្នុងឃ្លាំងភីភីអាយ។
កញ្ចប់ទាំងនេះ ពួកគេត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងគណនីពីរ តាមរយៈការដែល, ចាប់ពីថ្ងៃទី ១៦ ខែកុម្ភៈដល់ថ្ងៃទី ២៥ ខែកុម្ភៈឆ្នាំ ២០២០ មានកញ្ចប់ព្យាបាទចំនួន ៧២៤ កញ្ចប់ត្រូវបានបោះពុម្ពផ្សាយនៅក្នុង RubyGems ដែលសរុបទៅត្រូវបានទាញយកប្រមាណ ៩៥ ពាន់ដង។
អ្នកស្រាវជ្រាវបានជូនដំណឹងដល់រដ្ឋបាល RubyGems ហើយកញ្ចប់មេរោគដែលត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានយកចេញពីឃ្លាំងរួចហើយ។
ការវាយប្រហារទាំងនេះគំរាមកំហែងដល់អង្គការដោយប្រយោលដោយវាយប្រហារអ្នកលក់ភាគីទីបីដែលផ្តល់ឱ្យពួកគេនូវកម្មវិធីឬសេវាកម្ម។ ដោយសារអ្នកលក់បែបនេះជាទូទៅត្រូវបានគេចាត់ទុកថាជាអ្នកបោះពុម្ពដែលគួរឱ្យទុកចិត្តអង្គការមានទំនោរចំណាយពេលវេលាតិចដើម្បីផ្ទៀងផ្ទាត់ថាកញ្ចប់ដែលពួកគេប្រើប្រាស់គឺពិតជាគ្មានមេរោគ។
ក្នុងចំណោមកញ្ចប់បញ្ហាដែលបានរកឃើញការពេញនិយមបំផុតគឺអតិថិជនអាត្លាស។ ដែលនៅ glance ដំបូងគឺស្ទើរតែមិនអាចបកស្រាយបានពីកញ្ចប់ atlas_client ស្របច្បាប់។ កញ្ចប់ដែលបានបញ្ជាក់ត្រូវបានទាញយកចំនួន ២១០០ ដង (កញ្ចប់ធម្មតាត្រូវបានទាញយក ៦៤៩៦ ដងពោលគឺអ្នកប្រើប្រាស់ទទួលខុសវាស្ទើរតែ ២៥% នៃករណី) ។
កញ្ចប់ដែលនៅសល់ត្រូវបានទាញយកជាមធ្យម ១០០-១៥០ ដងនិងយកជាកញ្ចប់សម្រាប់កញ្ចប់ផ្សេងទៀត ប្រើបច្ចេកទេសជំនួសគូសក្រោមនិងសហសញ្ញាដូចគ្នា (ឧទាហរណ៍រវាងកញ្ចប់ព្យាបាទ៖ appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, បំពង់បង្ហូរប្រេង, ទ្រព្យសម្បត្តិ - សុពលភាព, ar_octopus- តាមដានការចម្លង, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
ប្រសិនបើអ្នកចង់ដឹងបន្ថែមអំពីការសិក្សាដែលបានអនុវត្តអ្នកអាចពិគ្រោះព័ត៌មានលម្អិតនៅក្នុងឯកសារអ៊ីម៉ែល តំណខាងក្រោម។
ធ្វើជាយោបល់ដំបូង