Pred pár dňami Vedci ReversingLabs zverejnili prostredníctvom blogového príspevku, výsledky analýzy použitia typosquattingu v úložisku RubyGems. Typicky typosquatting slúži na distribúciu škodlivých balíkov navrhnuté tak, aby nepozorný vývojár mohol urobiť preklep alebo si nevšimol rozdiel.
Štúdia odhalila viac ako 700 balení, cIch názvy sú podobné populárnym balíkom a líšia sa v menších detailoch, napríklad nahradením podobných písmen alebo použitím podčiarkovníkov namiesto pomlčiek.
Aby sa takýmto opatreniam vyhli, škodliví ľudia stále hľadajú nové vektory útoku. Jeden taký vektor, ktorý sa nazýva útok na dodávateľský reťazec softvéru, je čoraz populárnejší.
Z analyzovaných balíkov sa zistilo, že bolo identifikovaných viac ako 400 balíkov, ktoré obsahujú podozrivé komponenty de škodlivá činnosť. Najmä v rámci Súbor bol aaa.png, ktorý obsahoval spustiteľný kód vo formáte PE.
O balíkoch
Balíky so škodlivým kódom obsahovali súbor PNG obsahujúci spustiteľný súbor pre platformu Windows namiesto obrázka. Súbor bol vygenerovaný pomocou obslužného programu Ocra Ruby2Exe a zahrnutý samorozbaľovací archív so skriptom Ruby a tlmočníkom Ruby.
Pri inštalácii balíka bol súbor png premenovaný na exe a začalo sa to. Počas popravy bol vytvorený súbor VBScript a pridaný do automatického spustenia.
Škodlivý VBScript špecifikovaný v slučke prehľadal obsah schránky, či neobsahuje informácie podobné adresám kryptovej peňaženky, a v prípade detekcie nahradil číslo peňaženky očakávaním, že si používateľ rozdiely nevšimne a prostriedky prevedie do nesprávnej peňaženky.
Obzvlášť zaujímavý je tlačený text. Pomocou tohto typu útoku zámerne pomenujú škodlivé balíky tak, aby sa čo najviac podobali populárnym balíkom, v nádeji, že nič netušiaci používateľ chybne napíše meno a namiesto toho omylom nainštaluje škodlivý balík.
Štúdia ukázala, že nie je ťažké pridať škodlivé balíčky do jedného z najpopulárnejších úložísk a tieto balíčky môžu zostať nepovšimnuté aj napriek značnému počtu stiahnutí. Je potrebné poznamenať, že problém nie je špecifický pre RubyGems a vzťahuje sa na iné populárne úložiská.
Napríklad v minulom roku tí istí vedci identifikovali v úložisko NPM škodlivý balík bb-builder, ktorý používa podobnú techniku spustiť spustiteľný súbor na odcudzenie hesiel. Predtým bol nájdený backdoor v závislosti od balíka NPM toku udalostí a škodlivý kód bol stiahnutý približne 8 miliónovkrát. Škodlivé balíčky sa pravidelne objavujú aj v úložiskách PyPI.
Tieto balíčky boli spojené s dvoma účtami cez ktoré Od 16. februára do 25. februára 2020 bolo zverejnených 724 škodlivých paketovs v RubyGems, ktoré boli celkovo stiahnuté približne 95 tisíc krát.
Vedci informovali správu RubyGems a identifikované malvérové balíčky už boli z úložiska odstránené.
Tieto útoky nepriamo ohrozujú organizácie útokom na dodávateľov tretích strán, ktorí im poskytujú softvér alebo služby. Pretože títo dodávatelia sú všeobecne považovaní za dôveryhodných vydavateľov, organizácie zvyknú tráviť menej času overovaním, či balíčky, ktoré konzumujú, skutočne neobsahujú malware.
Z identifikovaných problémových balíkov bol najpopulárnejší klient atlas, ktorý je na prvý pohľad takmer na nerozoznanie od legitímneho balíka atlas_client. Zadaný balík bol stiahnutý 2100-krát (normálny balík bol stiahnutý 6496-krát, to znamená, že používatelia urobili chybu v takmer 25% prípadov).
Zvyšné balíčky boli stiahnuté v priemere 100 - 150 krát a maskované pre ďalšie balíčky použitím rovnakej techniky podčiarknutia a spojovníka (napríklad medzi škodlivými paketmi: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- sledovanie replikácie, aliyun-open_search, aliyun-mns, ab_split, apns-zdvorilý).
Ak sa chcete dozvedieť viac o uskutočnenej štúdii, pozrite si podrobnosti v nasledujúci odkaz.