Kilka dni temu Wydali naukowcy ReversingLabs poprzez wpis na blogu, wyniki analizy zastosowania typosquattingu w repozytorium RubyGems. Zazwyczaj typosquatting używany do dystrybucji złośliwych pakietów zaprojektowane tak, aby umożliwić nienadzorowanemu deweloperowi popełnienie literówki lub niezauważenie różnicy.
Badanie ujawniło ponad 700 opakowań, cIch nazwy są podobne do popularnych pakietów i różnią się drobnymi szczegółami, na przykład zastąpieniem podobnych liter lub użyciem podkreśleń zamiast łączników.
Aby uniknąć takich środków, złośliwi ludzie zawsze szukają nowych wektorów ataków. Jeden z takich wektorów, zwany atakiem łańcucha dostaw oprogramowania, staje się coraz bardziej popularny.
Z analizowanych pakietów odnotowano, że zidentyfikowano ponad 400 paczek zawierających podejrzane komponenty dzłośliwa aktywność. W szczególności w ramach Plik to aaa.png, który zawierał kod wykonywalny w formacie PE.
O pakietach
Złośliwe pakiety zawierały plik PNG zawierający plik wykonywalny dla platformy Windows zamiast obrazu. Plik został wygenerowany za pomocą narzędzia Ocra Ruby2Exe i dołączony samorozpakowujące się archiwum zawierające skrypt Ruby i interpreter języka Ruby.
Podczas instalowania pakietu nazwa pliku png została zmieniona na exe i zaczęło się. Podczas realizacji plik VBScript został utworzony i dodany do autostartu.
Szkodliwy VBScript określony w pętli skanował zawartość schowka w poszukiwaniu informacji podobnych do adresów portfela kryptowalutowego iw przypadku wykrycia zastępował numer portfela oczekiwaniem, że użytkownik nie zauważy różnic i przeleje środki do niewłaściwego portfela.
Szczególnie interesujące są typosquatting. Używając tego typu ataku, celowo nazywają złośliwe pakiety tak, aby jak najbardziej przypominały popularne, w nadziei, że niczego niepodejrzewający użytkownik błędnie przeliteruje nazwę i nieumyślnie zainstaluje złośliwy pakiet.
Badanie wykazało, że dodanie szkodliwych pakietów do jednego z najpopularniejszych repozytoriów nie jest trudne Pakiety te mogą pozostać niezauważone pomimo znacznej liczby pobrań. Należy zauważyć, że problem nie jest specyficzny dla RubyGems i dotyczy innych popularnych repozytoriów.
Na przykład w zeszłym roku ci sami badacze zidentyfikowali w repozytorium NPM złośliwy pakiet bb-builder, który używa podobnej techniki uruchomić plik wykonywalny w celu kradzieży haseł. Wcześniej, w zależności od pakietu NPM strumienia zdarzeń, znaleziono backdoora, a złośliwy kod został pobrany około 8 milionów razy. Szkodliwe pakiety pojawiają się również okresowo w repozytoriach PyPI.
Te pakiety były powiązane z dwoma kontami przez które, Od 16 do 25 lutego 2020 r. Opublikowano 724 szkodliwe pakietyw RubyGems, które w sumie zostały pobrane około 95 tysięcy razy.
Badacze poinformowali administrację RubyGems, a zidentyfikowane pakiety szkodliwego oprogramowania zostały już usunięte z repozytorium.
Ataki te pośrednio zagrażają organizacjom, atakując dostawców zewnętrznych, którzy dostarczają im oprogramowanie lub usługi. Ponieważ tacy dostawcy są ogólnie uważani za zaufanych wydawców, organizacje poświęcają mniej czasu na weryfikację, czy konsumowane przez nich pakiety są naprawdę wolne od złośliwego oprogramowania.
Spośród zidentyfikowanych pakietów problemowych najpopularniejszym był klient atlas, który na pierwszy rzut oka jest prawie nie do odróżnienia od legalnego pakietu atlas_client. Określony pakiet został pobrany 2100 razy (zwykły pakiet został pobrany 6496 razy, co oznacza, że użytkownicy popełnili błąd w prawie 25% przypadków).
Pozostałe pakiety były pobierane średnio 100-150 razy i zakamuflowane dla innych pakietów używając tej samej techniki podkreślania i zastępowania łączników (na przykład między złośliwymi pakietami: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, asset-validators, ar_octopus- śledzenie replikacji, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Jeśli chcesz dowiedzieć się więcej o przeprowadzonym badaniu, możesz zapoznać się ze szczegółami w następujący link.