RubyGems에서 채굴에 사용 된 700 개 이상의 악성 패키지가 탐지되었습니다.

Darkcrizt

4 분

며칠 전 리버 싱 랩스 연구원 발표 블로그 게시물을 통해 typosquatting 사용 분석 결과 RubyGems 저장소에 있습니다. 일반적으로 typosquatting 악성 패키지 배포에 사용 부주의 한 개발자가 오타를 만들거나 차이를 알아 차리지 못하도록 설계되었습니다.

이 연구는 700 개 이상의 패키지, c이름은 인기있는 패키지와 유사하며 유사한 문자를 바꾸거나 하이픈 대신 밑줄을 사용하는 등 사소한 세부 사항이 다릅니다.

이러한 조치를 피하기 위해 악의적 인 사람들은 항상 새로운 공격 벡터를 찾고 있습니다. 소프트웨어 공급망 공격이라고하는 이러한 벡터 중 하나가 점점 인기를 얻고 있습니다.

분석 된 패키지 중 400 개 이상의 패키지가 의심스러운 구성 요소를 포함하는 것으로 확인되었습니다. de 악의적 인 활동. 특히 파일은 PE 형식의 실행 코드를 포함하는 aaa.png입니다.

패키지 정보

악성 패키지에는 실행 파일이 포함 된 PNG 파일이 포함되어 있습니다. 이미지 대신 Windows 플랫폼의 경우. 파일은 Ocra Ruby2Exe 유틸리티를 사용하여 생성되었으며 Ruby 스크립트와 Ruby 인터프리터가있는 자동 압축 해제 아카이브.

패키지를 설치할 때 png 파일의 이름이 exe로 변경되었습니다. 그리고 시작되었습니다. 실행 중에 VBScript 파일이 생성되어 자동 시작에 추가되었습니다..

루프에 지정된 악성 VBScript는 암호화 지갑 주소와 유사한 정보에 대해 클립 보드 내용을 스캔하고 탐지시 사용자가 차이를 인식하지 못하고 자금을 이체 할 것이라는 예상으로 지갑 번호를 대체했습니다. 잘못된 지갑에.

Typosquatting은 특히 흥미 롭습니다. 이러한 유형의 공격을 사용하여 의심하지 않는 사용자가 이름을 잘못 입력하고 실수로 악성 패키지를 대신 설치하기를 바라며 의도적으로 악성 패키지의 이름을 가능한 한 인기있는 것과 비슷하게 지정합니다.

이 연구에 따르면 가장 인기있는 저장소 중 하나에 악성 패키지를 추가하는 것은 어렵지 않습니다. 그리고 이러한 패키지는 많은 다운로드에도 불구하고 눈에 띄지 않을 수 있습니다. 이 문제는 RubyGems에만 국한되지 않으며 다른 인기있는 리포지토리에도 적용됩니다.

예를 들어, 작년에 동일한 연구원이 저장소 NPM은 유사한 기술을 사용하는 악성 bb-builder 패키지 암호를 훔치기 위해 실행 파일을 실행합니다. 이전에는 이벤트 스트림 NPM 패키지에 따라 백도어가 발견되었으며 악성 코드는 약 8 만회 다운로드되었습니다. 악성 패키지는 PyPI 저장소에도 주기적으로 나타납니다.

이 패키지 그들은 두 계정과 연결되었습니다 이를 통해 16 년 25 월 2020 일부터 724 월 XNUMX 일까지 악성 패킷 XNUMX 개 공개RubyGems에서는 총 약 95 회 다운로드되었습니다.

연구원들은 RubyGems 관리에 알 렸으며 확인 된 악성 코드 패키지는 이미 저장소에서 제거되었습니다.

이러한 공격은 소프트웨어 또는 서비스를 제공하는 타사 공급 업체를 공격하여 조직을 간접적으로 위협합니다. 이러한 공급 업체는 일반적으로 신뢰할 수있는 게시자로 간주되기 때문에 조직에서 사용하는 패키지에 실제로 맬웨어가 없는지 확인하는 데 시간을 덜 소비하는 경향이 있습니다.

확인 된 문제 패키지 중 가장 인기있는 것은 atlas-client, 얼핏 보면 합법적 인 atlas_client 패키지와 거의 구별 할 수 없습니다. 지정된 패키지는 2100 회 다운로드되었습니다 (일반 패키지는 6496 회 다운로드, 즉 거의 25 %의 경우 사용자가 잘못 다운로드했습니다).

나머지 패키지는 평균 100-150 회 다운로드되었으며 다른 패키지에 대해 위장되었습니다. 동일한 밑줄 및 하이픈 대체 기술 사용 (예 : 악성 패킷 사이 : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).

수행 된 연구에 대해 더 알고 싶다면 다음 링크. 


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.