काही दिवसांपूर्वी रिव्हर्सलॅबच्या संशोधकांनी जाहीर केले ब्लॉग पोस्टद्वारे, टायपोस्क्वेटींगच्या वापराच्या विश्लेषणाचे परिणाम रुबीगेम्स रेपॉजिटरी मध्ये थोडक्यात टायपोस्क्वेटिंग दुर्भावनायुक्त पॅकेजेसचे वितरण करण्यासाठी वापरले जाते दुर्लक्ष केलेल्या विकसकास टायपो बनविण्याची परवानगी द्या किंवा फरक लक्षात येऊ नये यासाठी डिझाइन केलेले.
अभ्यासानुसार 700 हून अधिक पॅकेजेस, सीत्यांची नावे लोकप्रिय पॅकेजसारखीच आहेत आणि किरकोळ तपशीलांमध्ये भिन्न आहेत, उदाहरणार्थ, समान अक्षरे बदलून किंवा हायफनऐवजी अंडरस्कोर वापरुन.
असे उपाय टाळण्यासाठी, दुर्भावनायुक्त लोक नेहमीच नवीन हल्ल्याच्या वेक्टर शोधत असतात. सॉफ्टवेअर सप्लाय चेन अटॅक नावाचा असा एक वेक्टर अधिक प्रमाणात लोकप्रिय होत आहे.
ज्या पॅकेजेसचे विश्लेषण केले गेले त्यापैकी हे लक्षात आले 400 पेक्षा जास्त पॅकेजेस संशयास्पद घटक असलेले म्हणून ओळखले गेले dई दुर्भावनापूर्ण क्रियाकलाप. विशेषतः, आत फाईल aaa.png होती, ज्यात पीई स्वरूपात एक्झिक्युटेबल कोडचा समावेश होता.
पॅकेज बद्दल
दुर्भावनायुक्त पॅकेजमध्ये एक्झिक्यूटेबल फाईल असलेली पीएनजी फाईल समाविष्ट आहे प्रतिमेऐवजी विंडोज प्लॅटफॉर्मसाठी. फाईल ओक्रा रुबी 2 एक्सिसिटी युटिलिटी वापरुन व्युत्पन्न केली गेली होती आणि समाविष्ट केली गेली होती एक रुबी स्क्रिप्ट आणि एक रुबी इंटरप्रिटर सह एक स्वयं-अर्क संग्रहण.
पॅकेज स्थापित करताना, png फाईलचे नाव बदलून EXE केले गेले आणि ते सुरू झाले. अंमलबजावणी दरम्यान, एक व्हीबीएसस्क्रिप्ट फाइल तयार केली गेली होती आणि ऑटॉस्टार्टमध्ये जोडली गेली होती.
लूपमध्ये निर्दिष्ट केलेल्या दुर्भावनायुक्त व्हीबीएसस्क्रिप्टने क्रिप्टो वॉलेट पत्त्यांसारख्या माहितीसाठी क्लिपबोर्ड सामग्री स्कॅन केली आणि शोधण्याच्या बाबतीत, वापरकर्त्याने मतभेद लक्षात न घेता आणि चुकीच्या पाकिटात निधी हस्तांतरित करेल या अपेक्षेने वॉलेट नंबरची जागा घेतली.
टायपोस्क्वेटिंग विशेषतः मनोरंजक आहे. या प्रकारच्या हल्ल्याचा वापर करून ते जास्तीत जास्त लोकप्रिय लोकांसारखी दिसण्यासाठी दुर्भावनायुक्त पॅकेजेस हेतुपुरस्सर नावे ठेवतात, असा आशा आहे की एखादा नि: संदिग्ध वापरकर्त्याचे नाव चुकीचे असेल आणि त्याऐवजी अनजाने ते दुर्भावनायुक्त पॅकेज स्थापित करेल.
अभ्यासानुसार हे दिसून आले आहे की एका सर्वात लोकप्रिय रेपॉजिटरीमध्ये दुर्भावनायुक्त पॅकेजेस जोडणे कठीण नाही आणि बर्याच डाउनलोड्स असूनही, या पॅकेजेसकडे दुर्लक्ष केले जाऊ शकते. हे नोंद घ्यावे की हा विषय रूबीग्यूम्सशी संबंधित नाही आणि इतर लोकप्रिय रेपॉजिटरीजमध्ये लागू आहे.
उदाहरणार्थ, मागील वर्षी, त्याच संशोधकांनी त्यामध्ये ओळखले च्या भांडार एनपीएम एक दुर्भावनायुक्त बीबी-बिल्डर पॅकेज जे समान तंत्र वापरते संकेतशब्द चोरण्यासाठी एक्जीक्यूटेबल फाइल चालविणे. यापूर्वी, इव्हेंट स्ट्रीम एनपीएम पॅकेजच्या आधारे बॅकडोर आढळला आणि दुर्भावनायुक्त कोड अंदाजे 8 दशलक्ष वेळा डाउनलोड केला गेला. दुर्भावनायुक्त पॅकेजेस पीआयपीआय रेपॉजिटरिज मधून मधूनमधून दिसतात.
ही संकुले ते दोन खात्यांशी संबंधित होते ज्याद्वारे, 16 फेब्रुवारी ते 25 फेब्रुवारी 2020 पर्यंत 724 दुर्भावनायुक्त पॅकेट प्रकाशित झालीरुबीगेम्स मध्ये असे की एकूणच सुमारे 95 हजार वेळा डाउनलोड केले गेले.
संशोधकांनी रुबीगेम्स प्रशासनाला कळविले आहे आणि ओळखले गेलेले मालवेअर पॅकेजेस आधीपासूनच भांडारातून काढले गेले आहेत.
हे हल्ले संघटनांना सॉफ्टवेअर किंवा सेवा पुरविणार्या तृतीय-पक्षाच्या विक्रेत्यांवर आक्रमण करून अप्रत्यक्षपणे धमकी देतात. अशा विक्रेते सामान्यत: विश्वासू प्रकाशक मानले जातात, म्हणून संघटना त्यांचा वापरत असलेली पॅकेजेस खरंच मालवेयर-मुक्त आहेत हे सत्यापित करण्यासाठी कमी वेळ घालवतात.
ओळखल्या जाणार्या अडचणी पॅकेजपैकी सर्वात लोकप्रिय म्हणजे अॅटलास-क्लायंट, जे पहिल्या दृष्टीक्षेपात कायदेशीर lasटलस_ क्लायंट पॅकेजपेक्षा जवळजवळ वेगळ्या आहे. निर्दिष्ट पॅकेज 2100 वेळा डाउनलोड केले गेले (सामान्य पॅकेज 6496 वेळा डाउनलोड केले गेले, म्हणजे जवळजवळ 25% प्रकरणात वापरकर्त्यांना ते चुकीचे वाटले).
उर्वरित पॅकेजेस सरासरी 100-150 वेळा डाउनलोड केली गेली आणि इतर पॅकेजेससाठी छप्पर घातली समान अधोरेखित करणारे आणि हायफन बदलण्याचे तंत्र वापरुन (उदाहरणार्थ, दुर्भावनायुक्त पॅकेट्स दरम्यान: अॅपियम-लिब, -क्शन-मेलर_केचे_डिलीव्हरी, अॅक्टिवॉडेल_ल्युएडिटर).
आपण केलेल्या अभ्यासाबद्दल अधिक जाणून घेऊ इच्छित असल्यास आपण त्यातील तपशीलांचा सल्ला घेऊ शकता खालील दुवा.