Pred nekaj dnevi Izpuščeni raziskovalci ReversingLabs z objavo v blogu, rezultati analize uporabe tiposkvotiranja v odlagališču RubyGems. Običajno tipostirajo uporablja za distribucijo zlonamernih paketov zasnovan tako, da omogoča nepazljivemu razvijalcu, da natipka ali ne opazi razlike.
Študija je razkrila več kot 700 paketov, cNjihova imena so podobna priljubljenim paketom in se razlikujejo v manjših podrobnostih, na primer nadomeščajo podobne črke ali uporabljajo podčrtaje namesto vezajev.
Da bi se izognili takšnim ukrepom, zlonamerni ljudje vedno iščejo nove vektorje napadov. Takšen vektor, imenovan napad na dobavno verigo programske opreme, postaja vse bolj priljubljen.
Med analiziranimi paketi je bilo ugotovljeno, da ugotovljeno je bilo, da več kot 400 paketov vsebuje sumljive sestavine de zlonamerna dejavnost. Zlasti znotraj Datoteka je bila aaa.png, ki je vsebovala izvršljivo kodo v obliki PE.
O paketih
Zlonamerni paketi so vključevali datoteko PNG, ki je vsebovala izvršljivo datoteko za platformo Windows namesto slike. Datoteka je bila ustvarjena s pripomočkom Ocra Ruby2Exe in vključena samoraspakirajoč se arhiv s skriptom Ruby in tolmačem Ruby.
Pri namestitvi paketa se je datoteka png preimenovala v exe in začelo se je. Med izvedbo ustvarjena je bila datoteka VBScript, ki je bila dodana v samodejni zagon.
Zlonamerni VBScript, določen v zanki, je vsebino odložišča skeniral za informacije, podobne naslovom kripto denarnice, in v primeru odkritja nadomestil številko denarnice s pričakovanjem, da uporabnik ne bo opazil razlik in bo sredstva nakazal na napačno denarnico.
Posebej zanimiv je tipokvotiranje. Z uporabo te vrste napada namerno poimenujejo zlonamerne pakete, da bi bili čim bolj podobni priljubljenim, v upanju, da bo nič hudega sluteči napačno napisal ime in namesto tega nehote namestil zlonamerni paket.
Študija je pokazala, da v eno najbolj priljubljenih skladišč ni težko dodati zlonamernih paketov in ti paketi lahko ostanejo neopaženi, kljub velikemu številu prenosov. Treba je opozoriti, da težava ni specifična za RubyGems in velja za druga priljubljena skladišča.
Na primer, lani so isti raziskovalci identificirali v odlagališče NPM zlonamerni paket bb-builder, ki uporablja podobno tehniko za zagon izvršljive datoteke za krajo gesel. Pred tem je bilo odkrito zakulisje, odvisno od paketa NPM toka dogodkov, in zlonamerna koda je bila prenesena približno 8 milijonov krat. Zlonamerni paketi se občasno pojavljajo tudi v odlagališčih PyPI.
Ti paketi bili so povezani z dvema računoma prek katerega, Od 16. do 25. februarja 2020 je bilo objavljenih 724 zlonamernih paketovs v RubyGems, ki so bili skupaj preneseni približno 95 tisoč krat.
Raziskovalci so obvestili upravo RubyGems in ugotovljeni paketi zlonamerne programske opreme so že odstranjeni iz skladišča.
Ti napadi posredno ogrožajo organizacije z napadi na neodvisne ponudnike, ki jim zagotavljajo programsko opremo ali storitve. Ker se takšni prodajalci običajno štejejo za založnike, ki jim zaupajo, organizacije običajno porabijo manj časa za preverjanje, ali paketi, ki jih porabijo, resnično vsebujejo zlonamerno programsko opremo.
Od identificiranih paketov problemov je bil najbolj priljubljen odjemalec atlas, ki se na prvi pogled skoraj ne loči od legitimnega paketa atlas_client. Navedeni paket je bil prenesen 2100-krat (običajni paket je bil prenesen 6496-krat, torej so ga uporabniki v skoraj 25% primerov zmotili).
Preostali paketi so bili v povprečju preneseni 100-150-krat in za ostale pakete prikriti z uporabo iste tehnike podčrtavanja in zamenjave vezaja vezaja (na primer med zlonamernimi paketi: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, pipe-pipe sredstev, validators sredstev, ar_octopus- sledenje replikacij, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Če želite izvedeti več o opravljeni študiji, si oglejte podrobnosti v naslednja povezava.