Несколько дней назад Исследователи ReversingLabs выпустили через сообщение в блоге, результаты анализа использования типосквоттинга в репозитории RubyGems. Обычно типосквоттинг используется для распространения вредоносных пакетов разработан, чтобы позволить разработчику без присмотра сделать опечатку или не заметить разницы.
В ходе исследования было выявлено более 700 пакетов, cИх названия похожи на популярные пакеты и отличаются небольшими деталями, например заменой похожих букв или использованием подчеркивания вместо дефиса.
Чтобы избежать подобных мер, злоумышленники всегда ищут новые векторы атак. Один из таких векторов, называемый атакой на цепочку поставок программного обеспечения, становится все более популярным.
Из проанализированных пакетов было отмечено, что более 400 пакетов были идентифицированы как содержащие подозрительные компоненты dзлонамеренная деятельность. В частности, в рамках Это был файл aaa.png, который содержал исполняемый код в формате PE.
О пакетах
Среди вредоносных пакетов был файл PNG с исполняемым файлом. для платформы Windows вместо образа. Файл был создан с помощью утилиты Ocra Ruby2Exe и включен самораспаковывающийся архив со скриптом Ruby и интерпретатором Ruby.
При установке пакета файл png был переименован в exe и началось. Во время исполнения файл VBScript был создан и добавлен в автозапуск.
Вредоносный VBScript, указанный в цикле, сканировал содержимое буфера обмена на предмет информации, аналогичной адресам криптокошелька, и в случае обнаружения заменял номер кошелька на ожидание того, что пользователь не заметит различий и переведет средства. в неправильный кошелек.
Типосквоттинг особенно интересен. Используя этот тип атаки, они намеренно называют вредоносные пакеты настолько похожими на популярные, насколько это возможно, в надежде, что ничего не подозревающий пользователь неправильно напишет имя и случайно установит вредоносный пакет.
Исследование показало, что добавить вредоносные пакеты в один из самых популярных репозиториев несложно. и эти пакеты могут остаться незамеченными, несмотря на значительное количество загрузок. Следует отметить, что проблема не относится к RubyGems и относится к другим популярным репозиториям.
Например, в прошлом году те же исследователи идентифицировали в хранилище NPM - вредоносный пакет bb-builder, использующий похожую технику. запустить исполняемый файл для кражи паролей. До этого в зависимости от пакета NPM потока событий обнаруживался бэкдор, и вредоносный код загружался примерно 8 миллионов раз. Вредоносные пакеты также периодически появляются в репозиториях PyPI.
Эти пакеты они были связаны с двумя учетными записями через которые, С 16 по 25 февраля 2020 года было опубликовано 724 вредоносных пакета.s в RubyGems, которые в общей сложности были загружены примерно 95 тысяч раз.
Исследователи проинформировали администрацию RubyGems, и обнаруженные пакеты вредоносного ПО уже удалены из репозитория.
Эти атаки косвенно угрожают организациям, нападая на сторонних поставщиков, которые предоставляют им программное обеспечение или услуги. Поскольку такие поставщики обычно считаются надежными издателями, организации, как правило, тратят меньше времени на проверку того, что используемые ими пакеты действительно не содержат вредоносных программ.
Из выявленных проблемных пакетов наиболее популярным оказался атлас-клиент, который на первый взгляд почти неотличим от легитимного пакета atlas_client. Указанный пакет был загружен 2100 раз (обычный пакет был загружен 6496 раз, то есть пользователи ошибались почти в 25% случаев).
Остальные пакеты загружались в среднем 100-150 раз и замаскированы под другие пакеты. используя ту же технику подчеркивания и замены дефиса (например, между вредоносными пакетами: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- отслеживание репликации, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Если вы хотите узнать больше о проведенном исследовании, вы можете ознакомиться с подробностями в по следующей ссылке.