Beberapa hari yang lalu Penyelidik ReversingLabs dibebaskan melalui catatan blog, hasil analisis penggunaan typosquatting di repositori RubyGems. Biasanya typosquatting digunakan untuk mengedarkan pakej berniat jahat direka untuk membolehkan pemaju yang tidak perhatian membuat kesalahan ketik atau tidak menyedari perbezaannya.
Kajian menunjukkan lebih daripada 700 bungkusan, cNama mereka serupa dengan pakej yang popular dan berbeza dalam perincian kecil, misalnya menggantikan huruf serupa atau menggunakan garis bawah dan bukan tanda hubung.
Untuk mengelakkan langkah tersebut, orang jahat selalu mencari vektor serangan baru. Satu vektor seperti itu, yang disebut serangan rantai bekalan perisian, semakin popular.
Dari pakej yang dianalisis, dinyatakan bahawa lebih daripada 400 bungkusan dikenal pasti mengandungi komponen yang mencurigakan de aktiviti jahat. Khususnya, di dalam Failnya adalah aaa.png, yang memasukkan kod yang dapat dilaksanakan dalam format PE.
Mengenai pakej
Pakej jahat termasuk fail PNG yang mengandungi fail yang boleh dilaksanakan untuk platform Windows dan bukannya gambar. Fail dihasilkan menggunakan utiliti Ocra Ruby2Exe dan disertakan arkib pengambilan sendiri dengan skrip Ruby dan jurubahasa Ruby.
Semasa memasang pakej, fail png dinamakan semula menjadi exe dan ia bermula. Semasa pelaksanaan, fail VBScript telah dibuat dan ditambahkan ke autostart.
Skrip VBS jahat yang dinyatakan dalam gelung mengimbas kandungan papan keratan untuk mendapatkan maklumat yang serupa dengan alamat dompet crypto dan sekiranya berlaku pengesanan, menggantikan nombor dompet dengan harapan pengguna tidak akan memperhatikan perbezaan dan akan memindahkan dana ke dompet yang salah.
Typosquatting sangat menarik. Dengan menggunakan jenis serangan ini, mereka sengaja menamakan pakej jahat untuk kelihatan seperti yang paling popular, dengan harapan pengguna yang tidak curiga akan salah mengeja namanya dan secara tidak sengaja memasang pakej jahat itu.
Kajian menunjukkan bahawa tidak sukar untuk menambahkan pakej jahat ke salah satu repositori paling popular dan pakej ini tidak dapat disedari, walaupun terdapat banyak muat turun. Perlu diingatkan bahawa masalah ini tidak khusus untuk RubyGems dan berlaku untuk repositori popular lain.
Contohnya, tahun lalu, penyelidik yang sama mengenal pasti repositori dari NPM pakej bb-builder jahat yang menggunakan teknik serupa untuk menjalankan fail yang boleh dilaksanakan untuk mencuri kata laluan. Sebelum ini, pintu belakang dijumpai bergantung pada pakej NPM aliran acara dan kod jahat telah dimuat turun kira-kira 8 juta kali. Pakej jahat juga muncul secara berkala di repositori PyPI.
Pakej ini mereka dikaitkan dengan dua akaun melaluinya, Dari 16 Februari hingga 25 Februari 2020, 724 paket jahat diterbitkans di RubyGems yang secara keseluruhannya dimuat turun lebih kurang 95 ribu kali.
Penyelidik telah memberitahu pentadbiran RubyGems dan pakej perisian hasad yang telah dikenal pasti telah dikeluarkan dari repositori.
Serangan ini secara tidak langsung mengancam organisasi dengan menyerang vendor pihak ketiga yang menyediakan perisian atau perkhidmatan kepada mereka. Oleh kerana vendor tersebut pada umumnya dianggap sebagai penerbit yang dipercayai, organisasi cenderung menghabiskan lebih sedikit masa untuk mengesahkan bahawa pakej yang mereka gunakan benar-benar bebas perisian hasad.
Dari pakej masalah yang dikenal pasti, yang paling popular adalah pelanggan atlas, yang pada pandangan pertama hampir tidak dapat dibezakan dengan pakej atlas_client yang sah. Pakej yang ditentukan telah dimuat turun 2100 kali (pakej biasa dimuat turun 6496 kali, iaitu pengguna salah dalam hampir 25% kes)
Baki bungkusan dimuat turun rata-rata 100-150 kali dan disamarkan untuk pakej lain menggunakan teknik penggantian garis bawah dan tanda hubung yang sama (contohnya, antara paket jahat: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, aset-pipeline, aset-validator, ar_octopus- tracking replikasi, aliyun-open_search, aliyun-mns, ab_split, apns-sopan).
Sekiranya anda ingin mengetahui lebih lanjut mengenai kajian yang dijalankan, anda boleh melihat perinciannya di pautan berikut.