Пре неколико дана Објављени истраживачи РеверсингЛабс путем блога, резултати анализе употребе типосквотирања у спремишту РубиГемс. Типично типостирање користи се за дистрибуцију злонамерних пакета дизајниран да омогући непажљивом програмеру да направи грешку у куцању или да не примети разлику.
Студија је открила више од 700 пакета, цЊихова имена су слична популарним пакетима и разликују се у мањим детаљима, на пример, заменом сличних слова или употребом доњих црта уместо цртица.
Да би избегли такве мере, злонамерни људи увек траже нове векторе напада. Један такав вектор, назван нападом на ланац софтверског снабдевања, постаје све популарнији.
Од анализираних пакета примећено је да идентификовано је више од 400 паковања која садрже сумњиве компоненте дзлонамерна активност. Конкретно, у оквиру Датотека је била ааа.пнг, која је садржала извршни код у ПЕ формату.
О пакетима
Злонамерни пакети су садржали ПНГ датотеку која садржи извршну датотеку за Виндовс платформу уместо слике. Датотека је генерисана помоћу услужног програма Оцра Руби2Еке и укључена самораспакирајућа архива са Руби скриптом и Руби интерпретером.
Приликом инсталирања пакета, пнг датотека је преименована у еке и почело је. Током извршења, креирана је датотека ВБСцрипт и додата је за аутоматско покретање.
Злонамерни ВБСцрипт наведен у петљи скенирао је садржај клипборда за информације сличне адресама крипто новчаника и у случају откривања заменио број новчаника очекујући да корисник неће приметити разлике и да ће средства пребацити у погрешан новчаник.
Типоскуаттинг је посебно занимљив. Користећи ову врсту напада, они намерно именују злонамерне пакете да што више подсећају на популарне, у нади да ће несумњиви корисник погрешно написати име и уместо тога ненамерно инсталирати злонамерни пакет.
Студија је показала да није тешко додати злонамерне пакете у једно од најпопуларнијих спремишта и ови пакети могу остати непримећени, упркос значајном броју преузимања. Треба напоменути да издање није специфично за РубиГемс и односи се на друга популарна спремишта.
На пример, прошле године су се исти истраживачи идентификовали у спремиште на НПМ злонамерни бб-буилдер пакет који користи сличну технику за покретање извршне датотеке за крађу лозинки. Пре тога, пронађена је бацкдоор, у зависности од НПМ пакета тока догађаја, а злонамерни код је преузет приближно 8 милиона пута. Злонамерни пакети се такође периодично појављују у спремиштима ПиПИ.
Ови пакети били су повезани са два рачуна кроз који, Од 16. до 25. фебруара 2020. објављено је 724 злонамерних пакетас у РубиГемс-у који су укупно преузети око 95 хиљада пута.
Истраживачи су обавестили администрацију РубиГемс-а и идентификовани пакети малвера су већ уклоњени из спремишта.
Ови напади индиректно прете организацијама тако што нападају независне добављаче који им пружају софтвер или услуге. С обзиром да се такви добављачи углавном сматрају издавачима којима верују, организације обично троше мање времена проверавајући да ли пакети које конзумирају заиста садрже малвер.
Од идентификованих пакета проблема, најпопуларнији је био клијент атлас, који се на први поглед готово не разликује од легитимног пакета атлас_цлиент. Наведени пакет је преузет 2100 пута (нормалан пакет преузет је 6496 пута, то јест, корисници су погрешили у скоро 25% случајева).
Преостали пакети су у просеку преузети 100-150 пута и камуфлирани за остале пакете користећи исту технику подвлачења и замене цртице (на пример, између злонамерних пакета: аппиум-либ, ацтион-маилер_цацхе_деливери, ацтивемодел_валидаторс, асциидоцтор_библиограпхи, имовина-цевовод, валидатори имовине, ар_оцтопус- праћење репликације, алииун-опен_сеарцх, алииун-мнс, аб_сплит, апнс-полите).
Ако желите да сазнате више о спроведеној студији, можете погледати детаље у следећи линк.