För några dagar sedan ReversingLabs-forskare släpptes genom ett blogginlägg, resultat av en analys av användningen av typskattning i RubyGems-förvaret. Typiskt typskattning används för att distribuera skadliga paket utformad för att göra det möjligt för den obevakade utvecklaren att göra ett stavfel eller inte märka skillnaden.
Studien avslöjade mer än 700 paket, cDeras namn liknar populära paket och skiljer sig åt i mindre detaljer, till exempel att ersätta liknande bokstäver eller använda understrykningar istället för bindestreck.
För att undvika sådana åtgärder letar skadliga människor alltid efter nya attackvektorer. En sådan vektor, som kallas en programvaruförsörjningskedjanattack, blir alltmer populär.
Av paketen som analyserades noterades det mer än 400 paket identifierades innehålla misstänkta komponenter de skadlig aktivitet. I synnerhet inom Filen var aaa.png, som innehöll körbar kod i PE-format.
Om paket
De skadliga paketen innehöll en PNG-fil som innehåller en körbar fil för Windows-plattformen istället för en bild. Filen genererades med hjälp av verktyget Ocra Ruby2Exe och inkluderades ett självutdragande arkiv med ett Ruby-skript och en Ruby-tolk.
När du installerade paketet döptes om png-filen till exe och det började. Under utförandet en VBScript-fil skapades och läggs till i autostart.
Det skadliga VBScript som specificerades i en slinga skannade urklippsinnehållet efter information som liknar kryptoplånboksadresser och i händelse av upptäckt ersatte plånboksnumret med förväntan att användaren inte skulle märka skillnaderna och skulle överföra pengarna till fel plånbok.
Typosquatting är särskilt intressant. Med hjälp av denna typ av attack namnger de avsiktligt skadliga paket för att likna populära så mycket som möjligt, i hopp om att en intet ont anande användare stavar namnet felaktigt och installerar det skadliga paketet istället.
Studien visade att det inte är svårt att lägga till skadliga paket till ett av de mest populära förvaren och dessa paket kan gå obemärkt förbi, trots ett betydande antal nedladdningar. Det bör noteras att frågan inte är specifik för RubyGems och gäller andra populära förvar.
Till exempel förra året identifierade samma forskare i förvaret för NPM ett skadligt bb-builder-paket som använder en liknande teknik att köra en körbar fil för att stjäla lösenord. Innan detta hittades en bakdörr beroende på NPM-paketet för händelse och den skadliga koden laddades ner cirka 8 miljoner gånger. Skadliga paket visas också regelbundet i PyPI-förvaren.
Dessa paket de var associerade med två konton genom vilket, Från 16 februari till 25 februari 2020 publicerades 724 skadliga pakets i RubyGems som totalt laddades ner cirka 95 tusen gånger.
Forskare har informerat RubyGems-administrationen och de identifierade skadliga paketen har redan tagits bort från förvaret.
Dessa attacker indirekt hotar organisationer genom att attackera tredjepartsleverantörer som tillhandahåller programvara eller tjänster. Eftersom sådana leverantörer i allmänhet betraktas som betrodda utgivare, brukar organisationer spendera mindre tid på att verifiera att paketen de konsumerar verkligen är skadliga.
Av de identifierade problempaketen var atlasklienten den mest populära, som vid första anblicken nästan inte kan särskiljas från det legitima atlas_client-paketet. Det angivna paketet hämtades 2100 gånger (det normala paketet laddades ner 6496 gånger, det vill säga användarna fick fel i nästan 25% av fallen).
De återstående paketen laddades ner i genomsnitt 100-150 gånger och kamouflerades för andra paket med samma teknik för understrykning och bindestreck (till exempel mellan skadliga paket: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- replication tracking, aliyun-open_search, aliyun-mns, ab_split, apns-artig).
Om du vill veta mer om den genomförda studien kan du läsa detaljerna i följande länk.