Acum câteva zile Cercetătorii ReversingLabs au lansat printr-o postare pe blog, rezultatele unei analize a utilizării tipăririi în depozitul RubyGems. De obicei, tipografierea folosit pentru a distribui pachete rău intenționate conceput pentru a permite dezvoltatorului neatent să facă o greșeală de scriere sau să nu observe diferența.
Studiul a dezvăluit peste 700 de pachete, cNumele lor sunt similare pachetelor populare și diferă în detalii minore, de exemplu, înlocuind litere similare sau folosind caractere de subliniere în loc de cratime.
Pentru a evita astfel de măsuri, persoanele rău intenționate caută întotdeauna noi vectori de atac. Un astfel de vector, numit atac de lanț de aprovizionare cu software, devine din ce în ce mai popular.
Dintre pachetele care au fost analizate, s-a observat că peste 400 de pachete au fost identificate ca având componente suspecte dActivitate malițioasă. În special, în cadrul Fișierul a fost aaa.png, care a inclus cod executabil în format PE.
Despre pachete
Pachetele dăunătoare au inclus un fișier PNG care conține un fișier executabil pentru platforma Windows în loc de o imagine. Fișierul a fost generat folosind utilitarul Ocra Ruby2Exe și inclus o arhivă autoextractabilă cu un script Ruby și un interpret Ruby.
La instalarea pachetului, fișierul png a fost redenumit exe și a început. În timpul execuției, a fost creat un fișier VBScript și adăugat la pornirea automată.
VBScript-ul rău intenționat specificat într-o buclă a scanat conținutul clipboardului pentru informații similare cu adresele portofelului criptografic și, în caz de detectare, a înlocuit numărul portofelului cu așteptarea ca utilizatorul să nu observe diferențele și să transfere fondurile pe portofelul greșit.
Typosquatting-ul este deosebit de interesant. Folosind acest tip de atac, ei denumesc în mod intenționat pachetele rău intenționate pentru a semăna cât mai mult cu cele populare, în speranța că un utilizator nebănuit va scrie greșit numele și va instala în mod neintenționat pachetul rău intenționat.
Studiul a arătat că nu este dificil să adăugați pachete rău intenționate la unul dintre cele mai populare depozite iar aceste pachete pot trece neobservate, în ciuda unui număr semnificativ de descărcări. Trebuie remarcat faptul că problema nu este specifică RubyGems și se aplică altor depozite populare.
De exemplu, anul trecut, aceiași cercetători s-au identificat în depozitul de NPM este un pachet malware care utilizează o tehnică similară pentru a rula un fișier executabil pentru a fura parolele. Înainte de aceasta, a fost găsit un backdoor în funcție de pachetul NPM al fluxului de evenimente, iar codul rău intenționat a fost descărcat de aproximativ 8 milioane de ori. Pachetele rău intenționate apar, de asemenea, periodic în depozitele PyPI.
Aceste pachete erau asociați cu două conturi prin care, În perioada 16 februarie - 25 februarie 2020, au fost publicate 724 de pachete rău intenționates în RubyGems care în total au fost descărcate de aproximativ 95 mii de ori.
Cercetătorii au informat administrația RubyGems și pachetele malware identificate au fost deja eliminate din depozit.
Aceste atacuri amenință indirect organizațiile atacând furnizori terți care le furnizează software sau servicii. Deoarece astfel de furnizori sunt în general considerați editori de încredere, organizațiile tind să petreacă mai puțin timp verificând dacă pachetele pe care le consumă sunt cu adevărat fără malware.
Dintre pachetele cu probleme identificate, cel mai popular a fost clientul atlas, care la prima vedere aproape nu se distinge de pachetul legitim atlas_client. Pachetul specificat a fost descărcat de 2100 de ori (pachetul normal a fost descărcat de 6496 de ori, adică utilizatorii au greșit în aproape 25% din cazuri).
Pachetele rămase au fost descărcate în medie de 100-150 de ori și camuflate pentru alte pachete folosind aceeași tehnică de subliniere și înlocuire a cratimelor (de exemplu, între pachetele rău intenționate: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Dacă doriți să aflați mai multe despre studiul realizat, puteți consulta detaliile în următorul link.