Prieš kelias dienas „ReversingLabs“ tyrėjai išleido per tinklaraščio įrašą, spausdinimo raštu naudojimo analizės rezultatai „RubyGems“ saugykloje. Paprastai rašybos klaidos naudojami kenksmingiems paketams platinti sukurta tam, kad neatidus kūrėjas galėtų padaryti klaidą ar nepastebėti skirtumo.
Tyrimas atskleidė daugiau nei 700 pakuočių, cJų pavadinimai yra panašūs į populiarius paketus ir skiriasi nedidelėmis detalėmis, pavyzdžiui, pakeičiant panašias raides arba naudojant brūkšnius vietoj brūkšnių.
Norėdami išvengti tokių priemonių, piktavaliai visada ieško naujų atakų perteikėjų. Vienas iš tokių vektorių, vadinamas programinės įrangos tiekimo grandinės ataka, tampa vis populiaresnis.
Iš analizuotų pakuočių pažymėta, kad nustatyta, kad daugiau nei 400 pakuočių yra įtartinų komponentų dkenkėjiška veikla. Visų pirma, Failas buvo aaa.png, kuriame buvo vykdomas kodas PE formatu.
Apie paketus
Kenkėjiškuose paketuose buvo PNG failas, kuriame buvo vykdomasis failas „Windows“ platformai, o ne atvaizdui. Failas sugeneruotas naudojant „Ocra Ruby2Exe“ įrankį ir įtrauktas savarankiškai išgaunamas archyvas su „Ruby“ scenarijumi ir „Ruby“ vertėju.
Diegiant paketą, png failas buvo pervadintas į exe ir prasidėjo. Vykdymo metu sukurtas ir prie automatinio paleidimo pridėtas VBScript failas.
Kilpa nurodytas kenkėjiškas „VBScript“ nuskaitė iškarpinės turinį, ieškodamas informacijos, panašios į kriptografinės piniginės adresus, ir aptikimo atveju pakeitė piniginės numerį tikėdamasis, kad vartotojas nepastebės skirtumų ir perves lėšas į netinkamą piniginę.
Ypač įdomus spausdinimas rašmenimis. Naudodami tokio tipo atakas jie tyčia įvardija kenkėjiškus paketus, kad būtų kuo panašesni į populiarius, tikėdamiesi, kad nieko neįtariantis vartotojas neteisingai parašys vardą ir netyčia įdiegs kenkėjišką paketą.
Tyrimas parodė, kad nėra sunku pridėti kenkėjiškų paketų į vieną populiariausių saugyklų ir šie paketai gali būti nepastebėti, nepaisant daugybės atsisiuntimų. Reikėtų pažymėti, kad problema nėra būdinga „RubyGems“ ir taikoma kitoms populiarioms saugykloms.
Pavyzdžiui, praėjusiais metais tie patys tyrėjai nustatė saugykla NPM yra kenksmingas „bb-builder“ paketas, kuriame naudojama panaši technika paleisti vykdomąjį failą, kad pavogtų slaptažodžius. Prieš tai buvo rastas užnugaris, atsižvelgiant į įvykių srauto NPM paketą, o kenkėjiškas kodas buvo atsisiųstas maždaug 8 milijonus kartų. Kenkėjiškos pakuotės periodiškai pasirodo ir PyPI saugyklose.
Šie paketai jie buvo susieti su dviem sąskaitomis per kurį, Nuo 16 m. Vasario 25 iki 2020 vasario buvo paskelbti 724 kenksmingi paketai„RubyGems“, kurie iš viso buvo atsisiųsti maždaug 95 tūkstančius kartų.
Tyrėjai informavo „RubyGems“ administraciją, o nustatyti kenkėjiškų programų paketai jau buvo pašalinti iš saugyklos.
Šios atakos netiesiogiai kelia grėsmę organizacijoms, atakuodamos trečiųjų šalių pardavėjus, kurie joms teikia programinę įrangą ar paslaugas. Kadangi tokie pardavėjai paprastai laikomi patikimais leidėjais, organizacijos paprastai praleidžia mažiau laiko tikrindamos, ar jų vartojamuose paketuose tikrai nėra kenkėjiškų programų.
Iš nustatytų probleminių paketų populiariausias buvo atlasas-klientas, kuri iš pirmo žvilgsnio beveik nesiskiria nuo teisėto atlas_client paketo. Nurodytas paketas buvo atsisiųstas 2100 6496 kartų (įprastas paketas buvo atsisiųstas 25 kartus, tai yra, vartotojai jį suklydo beveik XNUMX% atvejų).
Likę paketai buvo atsisiųsti vidutiniškai 100–150 kartų ir užmaskuoti kitiems paketams naudojant tą pačią pabraukimo ir brūkšnių pakeitimo techniką (pavyzdžiui, tarp kenkėjiškų paketų: „appium-lib“, „action-mailer_cache_delivery“, „activemodel_validators“, „asciidoctor_bibliography“, „asset-pipeline“, „turto validatoriai“, ar_octopus- replikacijos stebėjimas, aliyun-open_search, aliyun-mns, ab_split, apns-mandagus).
Jei norite sužinoti daugiau apie atliktą tyrimą, galite sužinoti išsamią informaciją sekanti nuoroda.