Pirms dažām dienām ReversingLabs pētnieki atbrīvoti izmantojot emuāra ziņojumu, drukas kļūdu izmantošanas analīzes rezultāti RubyGems krātuvē. Parasti drukas kļūdas izmanto ļaunprātīgu paku izplatīšanai kas paredzēts neuzmanīgam izstrādātājam izdarīt drukas kļūdu vai nepamanīt atšķirību.
Pētījums atklāja vairāk nekā 700 iepakojumus, cViņu nosaukumi ir līdzīgi populāriem iepakojumiem un atšķiras ar sīkām detaļām, piemēram, aizstājot līdzīgus burtus vai lietojot pasvītras defisi vietā.
Lai izvairītos no šādiem pasākumiem, ļaunprātīgi cilvēki vienmēr meklē jaunus uzbrukuma pārnēsātājus. Viens no šādiem vektoriem, ko sauc par programmatūras piegādes ķēdes uzbrukumu, kļūst arvien populārāks.
No analizētajiem iepakojumiem tas tika atzīmēts tika identificēti vairāk nekā 400 iepakojumi, kas satur aizdomīgus komponentus dļaunprātīga darbība. Jo īpaši Fails bija aaa.png, kurā bija izpildāms kods PE formātā.
Par iepakojumiem
Ļaunprātīgās paketes ietvēra PNG failu, kurā bija izpildāms fails Windows platformai attēla vietā. Fails tika izveidots, izmantojot Ocra Ruby2Exe utilītu, un iekļauts pašizpletes arhīvs ar Ruby skriptu un Ruby tulku.
Instalējot pakotni, png fails tika pārdēvēts par exe un tas sākās. Izpildes laikā tika izveidots un pievienots automātiskajai palaišanai VBScript fails.
Cilpā norādītais ļaunprātīgais VBScript skenēja starpliktuves saturu, lai iegūtu informāciju, kas līdzīga kriptogrāfijas maka adresēm, un noteikšanas gadījumā seifa numuru aizstāja ar cerību, ka lietotājs nepamanīs atšķirības un pārskaitīs līdzekļus nepareizajā makā.
Īpaši interesanta ir drukas kļūda. Izmantojot šāda veida uzbrukumus, viņi apzināti nosauc ļaunprātīgas paketes, lai pēc iespējas vairāk izskatītos pēc populārām, cerot, ka nenojaušais lietotājs kļūdaini uzrakstīs vārdu un netīšām tā vietā instalēs ļaunprātīgo pakotni.
Pētījums parādīja, ka nav grūti pievienot ļaunprātīgas paketes vienam no populārākajiem krātuvēm un šīs paketes var palikt nepamanītas, neskatoties uz ievērojamo lejupielāžu skaitu. Jāatzīmē, ka jautājums nav specifisks RubyGems un attiecas uz citiem populāriem krātuvēm.
Piemēram, pagājušajā gadā tie paši pētnieki identificēja krātuve NPM ir ļaunprātīga bb-builder pakete, kas izmanto līdzīgu tehniku palaist izpildāmo failu, lai nozagtu paroles. Pirms tam aizmugure tika atrasta atkarībā no notikumu straumes NPM pakotnes un ļaunprātīgais kods tika lejupielādēts aptuveni 8 miljonus reižu. Ļaunprātīgas paketes periodiski parādās arī PyPI krātuvēs.
Šīs paketes tie bija saistīti ar diviem kontiem caur kuru, No 16. gada 25. februāra līdz 2020. februārim tika publicētas 724 ļaunprātīgas paketess RubyGems, kas kopumā tika lejupielādētas aptuveni 95 tūkstošus reižu.
Pētnieki ir informējuši RubyGems administrāciju, un identificētās ļaunprātīgās programmatūras pakotnes jau ir noņemtas no repozitorija.
Šie uzbrukumi netieši apdraud organizācijas, uzbrūkot trešo pušu piegādātājiem, kuri tām nodrošina programmatūru vai pakalpojumus. Tā kā šādus pārdevējus parasti uzskata par uzticamiem izdevējiem, organizācijas mēdz pavadīt mazāk laika, lai pārbaudītu, vai viņu patērētajās paketēs patiešām nav ļaunprātīgas programmatūras.
No identificētajām problēmu paketēm vispopulārākais bija atlanta klients, kas no pirmā acu uzmetiena gandrīz neatšķiras no likumīgā atlas_client pakotnes. Norādītā pakete tika lejupielādēta 2100 reizes (parastā pakete tika lejupielādēta 6496 reizes, tas ir, lietotāji to kļūdījās gandrīz 25% gadījumu).
Atlikušās paketes tika lejupielādētas vidēji 100-150 reizes un maskētas citām paketēm izmantojot to pašu pasvītrojuma un defises aizstāšanas paņēmienu (piemēram, starp ļaunprātīgām paketēm: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, aktīvu validatori, ar_octopus- replikācijas izsekošana, aliyun-open_search, aliyun-mns, ab_split, apns-pieklājīgs).
Ja vēlaties uzzināt vairāk par veikto pētījumu, varat uzzināt sīkāku informāciju šī saite.