Alguns dias atrás, o Pesquisadores do ReversingLabs lançados por meio de uma postagem no blog, resultados de uma análise do uso de typosquatting no repositório RubyGems. Tipicamente typosquatting usado para distribuir pacotes maliciosos projetado para permitir que o desenvolvedor desatento cometa um erro de digitação ou não perceba a diferença.
O estudo revelou mais de 700 pacotes, cSeus nomes são semelhantes a pacotes populares e diferem em pequenos detalhes, por exemplo, substituindo letras semelhantes ou usando sublinhados em vez de hifens.
Para evitar tais medidas, pessoas mal-intencionadas estão sempre procurando novos vetores de ataque. Um desses vetores, chamado de ataque à cadeia de suprimentos de software, está se tornando cada vez mais popular.
Dos pacotes que foram analisados, notou-se que mais de 400 pacotes foram identificados como contendo componentes suspeitos de atividade maliciosa. Em particular, dentro do O arquivo era aaa.png, que incluía código executável no formato PE.
Sobre pacotes
Os pacotes maliciosos incluíam um arquivo PNG contendo um arquivo executável para a plataforma Windows em vez de uma imagem. O arquivo foi gerado usando o utilitário Ocra Ruby2Exe e incluído um arquivo de extração automática com um script Ruby e um interpretador Ruby.
Ao instalar o pacote, o arquivo png foi renomeado para exe e começou. Durante a execução, um arquivo VBScript foi criado e adicionado para inicialização automática.
O VBScript malicioso especificado em um loop escaneou o conteúdo da área de transferência em busca de informações semelhantes aos endereços de carteira criptografada e, em caso de detecção, substituiu o número da carteira com a expectativa de que o usuário não notasse as diferenças e transferisse os fundos para a carteira errada.
Typosquatting é particularmente interessante. Usando esse tipo de ataque, eles intencionalmente nomeiam pacotes maliciosos para se parecerem o mais com os populares quanto possível, na esperança de que um usuário desavisado digite o nome incorretamente e instale inadvertidamente o pacote malicioso.
O estudo mostrou que não é difícil adicionar pacotes maliciosos a um dos repositórios mais populares e esses pacotes podem passar despercebidos, apesar de um número significativo de downloads. Deve-se notar que o problema não é específico do RubyGems e se aplica a outros repositórios populares.
Por exemplo, no ano passado, os mesmos pesquisadores identificados em o repositório de NPM, um pacote bb-builder malicioso que usa uma técnica semelhante para executar um arquivo executável para roubar senhas. Antes disso, um backdoor foi encontrado dependendo do pacote NPM do fluxo de eventos e o código malicioso foi baixado aproximadamente 8 milhões de vezes. Pacotes maliciosos também aparecem periodicamente nos repositórios PyPI.
Esses pacotes eles foram associados a duas contas através do qual, De 16 de fevereiro a 25 de fevereiro de 2020, 724 pacotes maliciosos foram publicadoss em RubyGems que, no total, foram baixados aproximadamente 95 mil vezes.
Os pesquisadores informaram a administração do RubyGems e os pacotes de malware identificados já foram removidos do repositório.
Esses ataques ameaçam indiretamente as organizações, atacando fornecedores terceirizados que fornecem software ou serviços. Como esses fornecedores são geralmente considerados editores confiáveis, as organizações tendem a gastar menos tempo verificando se os pacotes que consomem estão realmente livres de malware.
Dos pacotes com problemas identificados, o mais popular foi o atlas-client, que à primeira vista é quase indistinguível do pacote atlas_client legítimo. O pacote especificado foi baixado 2100 vezes (o pacote normal foi baixado 6496 vezes, ou seja, o usuário errou em quase 25% dos casos).
Os pacotes restantes foram baixados em média 100-150 vezes e camuflados para outros pacotes usando a mesma técnica de sublinhado e substituição de hífen (por exemplo, entre pacotes maliciosos: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Se quiser saber mais sobre o estudo realizado, pode consultar os detalhes no link a seguir