Een paar dagen geleden heeft de ReversingLabs-onderzoekers vrijgegeven via een blogpost, resultaten van een analyse van het gebruik van typosquatting in de RubyGems-repository. Typisch typosquatting gebruikt om kwaadaardige pakketten te verspreiden ontworpen om de onoplettende ontwikkelaar in staat te stellen een typefout te maken of het verschil niet te merken.
De studie bracht meer dan 700 pakketten aan het licht, cHun namen zijn vergelijkbaar met populaire pakketten en verschillen in kleine details, bijvoorbeeld het vervangen van vergelijkbare letters of het gebruik van onderstrepingstekens in plaats van koppeltekens.
Om dergelijke maatregelen te vermijden, zijn kwaadwillende personen altijd op zoek naar nieuwe aanvalsvectoren. Een van die vector, een software supply chain-aanval genaamd, wordt steeds populairder.
Van de pakketten die werden geanalyseerd, werd dat opgemerkt er is vastgesteld dat meer dan 400 pakketten verdachte componenten bevatten de kwaadaardige activiteit. In het bijzonder binnen de Het bestand was aaa.png, dat uitvoerbare code in PE-indeling bevatte.
Over pakketten
De kwaadaardige pakketten bevatten een PNG-bestand met een uitvoerbaar bestand voor het Windows-platform in plaats van een afbeelding. Het bestand is gegenereerd met het hulpprogramma Ocra Ruby2Exe en opgenomen een zelfuitpakkend archief met een Ruby-script en een Ruby-interpreter.
Bij het installeren van het pakket is de naam van het png-bestand gewijzigd in exe en het begon. Tijdens de uitvoering er is een VBScript-bestand gemaakt en toegevoegd aan autostart.
Het kwaadaardige VBScript dat in een lus werd gespecificeerd, scande de inhoud van het klembord op informatie die vergelijkbaar was met crypto-portemonnee-adressen en verving in geval van detectie het portefeuillummer met de verwachting dat de gebruiker de verschillen niet zou opmerken en het geld naar de verkeerde portemonnee zou overboeken.
Typosquatting is bijzonder interessant. Met behulp van dit type aanval noemen ze opzettelijk kwaadaardige pakketten om zoveel mogelijk op populaire te lijken, in de hoop dat een nietsvermoedende gebruiker de naam verkeerd zal spellen en in plaats daarvan onbedoeld het kwaadaardige pakket zal installeren.
Het onderzoek toonde aan dat het niet moeilijk is om kwaadaardige pakketten toe te voegen aan een van de meest populaire repositories en deze pakketten kunnen ondanks een aanzienlijk aantal downloads onopgemerkt blijven. Opgemerkt moet worden dat het probleem niet specifiek is voor RubyGems en van toepassing is op andere populaire repositories.
Vorig jaar identificeerden dezelfde onderzoekers zich bijvoorbeeld in de repository van NPM een kwaadaardig bb-builder-pakket dat een vergelijkbare techniek gebruikt om een uitvoerbaar bestand uit te voeren om wachtwoorden te stelen. Voordien werd er een achterdeur gevonden, afhankelijk van het eventstream NPM-pakket en werd de kwaadaardige code ongeveer 8 miljoen keer gedownload. Schadelijke pakketten verschijnen ook periodiek in de PyPI-opslagplaatsen.
Deze pakketten ze waren gekoppeld aan twee accounts waardoor, Van 16 februari tot 25 februari 2020 zijn 724 kwaadaardige pakketten gepubliceerds in RubyGems die in totaal ongeveer 95 duizend keer zijn gedownload.
Onderzoekers hebben de administratie van RubyGems geïnformeerd en de geïdentificeerde malwarepakketten zijn al uit de repository verwijderd.
Deze aanvallen vormen een indirecte bedreiging voor organisaties door externe leveranciers aan te vallen die hen software of services leveren. Aangezien dergelijke leveranciers over het algemeen als vertrouwde uitgevers worden beschouwd, besteden organisaties de neiging minder tijd te besteden aan het controleren of de pakketten die ze gebruiken echt malwarevrij zijn.
Van de geïdentificeerde probleempakketten was de atlas-client de meest populaire, dat op het eerste gezicht bijna niet te onderscheiden is van het legitieme atlas_client-pakket. Het opgegeven pakket is 2100 keer gedownload (het normale pakket is 6496 keer gedownload, dat wil zeggen dat gebruikers het in bijna 25% van de gevallen bij het verkeerde eind hadden).
De overige pakketten werden gemiddeld 100-150 keer gedownload en gecamoufleerd voor andere pakketten gebruikmakend van dezelfde techniek voor onderstrepen en vervangen van koppeltekens (bijvoorbeeld tussen kwaadaardige pakketten: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replicatie volgen, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Wil je meer weten over het uitgevoerde onderzoek, dan kan je de details raadplegen in het volgende link.