Disa ditë më parë Hulumtuesit e ReversingLabs lëshuan përmes një postimi në blog, rezultatet e një analize të përdorimit të typosquatting në depon e RubyGems. Në mënyrë tipike shtypja e shtypit përdoret për të shpërndarë pako të dëmshme i krijuar për të lejuar zhvilluesin e pavëmendshëm të bëjë një gabim shtypi ose të mos vërejë ndryshimin.
Studimi zbuloi më shumë se 700 pako, cEmrat e tyre janë të ngjashëm me paketat popullore dhe ndryshojnë në detaje të vogla, për shembull, duke zëvendësuar letra të ngjashme ose duke përdorur nënvizime në vend të vizave.
Për të shmangur masa të tilla, njerëzit me qëllim të keq janë gjithmonë në kërkim të vektorëve të rinj të sulmit. Një vektor i tillë, i quajtur sulm i zinxhirit të furnizimit me softuer, po bëhet gjithnjë e më popullor.
Nga paketat që u analizuan, u vërejt se më shumë se 400 pako u identifikuan se përmbajnë përbërës të dyshimtë ddhe veprimtari dashakeqe. Në veçanti, brenda Skedari ishte aaa.png, i cili përfshinte kodin e ekzekutueshëm në formatin PE.
Rreth paketave
Paketat me qëllim të keq përfshinin një skedar PNG që përmban një skedar të ekzekutueshëm për platformën Windows në vend të një imazhi. Skedari u gjenerua duke përdorur programin Ocra Ruby2Exe dhe u përfshi një arkiv vetë-nxjerrës me një skenar Ruby dhe një interpretues Ruby.
Kur instaloni paketën, skedari png u riemërua në exe dhe filloi. Gjatë ekzekutimit, u krijua një skedar VBScript dhe u shtua në nisjen automatike.
VBScript me qëllim të keq të specifikuar në një lak skanoi përmbajtjen e clipboard për informacione të ngjashme me adresat e portofolit kripto dhe në rast zbulimi, zëvendësoi numrin e portofolit me pritjen që përdoruesi të mos i vërente ndryshimet dhe të transferonte fondet në portofolin e gabuar.
Typosquatting është veçanërisht interesante. Duke përdorur këtë lloj sulmi, ata qëllimisht i emërtojnë paketat me qëllim të keq që të duken sa më shumë të njohura, me shpresën që një përdorues që nuk dyshon të shkruajë gabimisht emrin dhe të instalojë pa dashje paketën me qëllim të keq.
Studimi tregoi se nuk është e vështirë të shtosh paketa me qëllim të keq në një nga depot më të njohura dhe këto paketa mund të kalojnë pa u vërejtur, pavarësisht një numri të konsiderueshëm të shkarkimeve. Duhet të theksohet se çështja nuk është specifike për RubyGems dhe vlen për depot e tjera të njohura.
Për shembull, vitin e kaluar, të njëjtët studiues identifikuan në depo e NPM një paketë bb-ndërtuese me qëllim të keq që përdor një teknikë të ngjashme për të ekzekutuar një skedar të ekzekutueshëm për të vjedhur fjalëkalimet. Para kësaj, u gjet një derë e pasme në varësi të paketës NPM të rrjedhës së ngjarjes dhe kodi me qëllim të keq u shkarkua afërsisht 8 milion herë. Paketat me qëllim të keq gjithashtu shfaqen periodikisht në depot e PyPI.
Këto pako ato ishin të shoqëruara me dy llogari përmes së cilës, Nga 16 Shkurt deri më 25 Shkurt 2020, u botuan 724 pako me qëllim të keqnë RubyGems që në total janë shkarkuar rreth 95 mijë herë.
Studiuesit kanë informuar administratën RubyGems dhe paketat e identifikuara të malware tashmë janë hequr nga depoja.
Këto sulme indirekt kërcënojnë organizatat duke sulmuar shitës të palëve të treta që u ofrojnë atyre softuer ose shërbime. Meqenëse shitës të tillë zakonisht konsiderohen botues të besuar, organizatat priren të kalojnë më pak kohë duke verifikuar që paketat që ata konsumojnë janë vërtet pa malware.
Nga paketat problematike të identifikuara, më e popullarizuara ishte atlas-klient, e cila në shikim të parë është pothuajse e padallueshme nga paketa legjitime e atlas_client. Paketa e specifikuar është shkarkuar 2100 herë (paketa normale është shkarkuar 6496 herë, domethënë, përdoruesit e kanë gabuar në pothuajse 25% të rasteve).
Paketat e mbetura u shkarkuan mesatarisht 100-150 herë dhe u kamufluan për paketat e tjera duke përdorur të njëjtën teknikë të nënvizimit dhe ndërrimit të vizave (për shembull, midis paketave me qëllim të keq: apium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asetet-tubacioni, asetet-validators, ar_octopus- gjurmimi i replikimit, aliyun-open_search, aliyun-mns, ab_split, apns-i sjellshëm).
Nëse doni të dini më shumë rreth studimit të kryer, mund të konsultoheni me detajet në lidhja vijuese.