ไม่กี่วันที่ผ่านมา นักวิจัย ReversingLabs เปิดตัว ผ่านบล็อกโพสต์ ผลการวิเคราะห์การใช้ typosquatting ในที่เก็บ RubyGems โดยทั่วไปแล้วการพิมพ์ผิด ใช้เพื่อแจกจ่ายแพ็คเกจที่เป็นอันตราย ออกแบบมาเพื่อให้นักพัฒนาที่ไม่ตั้งใจพิมพ์ผิดหรือไม่สังเกตเห็นความแตกต่าง
ผลการศึกษาพบมากกว่า 700 แพ็คเกจคชื่อของพวกเขาคล้ายกับแพ็กเกจยอดนิยมและมีรายละเอียดเล็กน้อยที่แตกต่างกันตัวอย่างเช่นการแทนที่ตัวอักษรที่คล้ายกันหรือใช้ขีดล่างแทนขีดกลาง
เพื่อหลีกเลี่ยงมาตรการดังกล่าวผู้ไม่ประสงค์ดีมักมองหาเวกเตอร์การโจมตีใหม่ ๆ เวกเตอร์หนึ่งที่เรียกว่าการโจมตีห่วงโซ่อุปทานซอฟต์แวร์กำลังเป็นที่นิยมมากขึ้นเรื่อย ๆ
จากแพ็กเกจที่วิเคราะห์พบว่า มากกว่า 400 แพ็คเกจถูกระบุว่ามีส่วนประกอบที่น่าสงสัย dกิจกรรมที่เป็นอันตราย โดยเฉพาะอย่างยิ่งภายใน ไฟล์นี้คือ aaa.png ซึ่งรวมโค้ดปฏิบัติการในรูปแบบ PE
เกี่ยวกับแพ็คเกจ
แพคเกจที่เป็นอันตรายรวมไฟล์ PNG ที่มีไฟล์ปฏิบัติการ สำหรับแพลตฟอร์ม Windows แทนรูปภาพ ไฟล์ถูกสร้างขึ้นโดยใช้ยูทิลิตี้ Ocra Ruby2Exe และรวมอยู่ด้วย ไฟล์เก็บถาวรที่ขยายตัวเองด้วยสคริปต์ Ruby และตัวแปล Ruby.
เมื่อติดตั้งแพคเกจไฟล์ png ถูกเปลี่ยนชื่อเป็น exe และมันก็เริ่มต้นขึ้น ในระหว่างการดำเนินการ ไฟล์ VBScript ถูกสร้างและเพิ่มลงใน autostart.
VBScript ที่เป็นอันตรายที่ระบุไว้ในลูปสแกนเนื้อหาคลิปบอร์ดเพื่อหาข้อมูลที่คล้ายกับที่อยู่กระเป๋าเงินเข้ารหัสลับและในกรณีที่ตรวจพบให้แทนที่หมายเลขกระเป๋าเงินด้วยความคาดหวังว่าผู้ใช้จะไม่สังเกตเห็นความแตกต่างและจะโอนเงินไปยังกระเป๋าเงินที่ไม่ถูกต้อง
Typosquatting น่าสนใจอย่างยิ่ง การใช้การโจมตีประเภทนี้พวกเขาตั้งใจตั้งชื่อแพ็กเกจที่เป็นอันตรายให้ดูเหมือนกับแพ็กเกจยอดนิยมมากที่สุดโดยหวังว่าผู้ใช้ที่ไม่สงสัยจะสะกดชื่อผิดและติดตั้งแพ็กเกจที่เป็นอันตรายโดยไม่ได้ตั้งใจ
การศึกษาแสดงให้เห็นว่าการเพิ่มแพ็กเกจที่เป็นอันตรายลงในที่เก็บที่เป็นที่นิยมมากที่สุดไม่ใช่เรื่องยาก และแพ็คเกจเหล่านี้ไม่มีใครสังเกตเห็นแม้จะมีการดาวน์โหลดจำนวนมากก็ตาม ควรสังเกตว่าปัญหาไม่เฉพาะเจาะจงกับ RubyGems และใช้กับที่เก็บยอดนิยมอื่น ๆ
ตัวอย่างเช่นปีที่แล้วนักวิจัยคนเดียวกันระบุใน ที่เก็บของ NPM แพ็คเกจตัวสร้าง bb ที่เป็นอันตรายซึ่งใช้เทคนิคที่คล้ายกัน เพื่อเรียกใช้ไฟล์ปฏิบัติการเพื่อขโมยรหัสผ่าน ก่อนหน้านี้พบแบ็คดอร์ขึ้นอยู่กับแพ็กเกจ NPM ของสตรีมเหตุการณ์และโค้ดที่เป็นอันตรายถูกดาวน์โหลดประมาณ 8 ล้านครั้ง แพคเกจที่เป็นอันตรายยังปรากฏเป็นระยะ ๆ ในที่เก็บ PyPI
แพ็คเกจเหล่านี้ พวกเขาเชื่อมโยงกับสองบัญชี ซึ่งผ่าน ตั้งแต่วันที่ 16 กุมภาพันธ์ถึง 25 กุมภาพันธ์ 2020 มีการเผยแพร่แพ็กเก็ตที่เป็นอันตราย 724 แพ็กเก็ตใน RubyGems ซึ่งมีการดาวน์โหลดทั้งหมดประมาณ 95 ครั้ง
นักวิจัยได้แจ้งการดูแลระบบ RubyGems และแพ็คเกจมัลแวร์ที่ระบุได้ถูกลบออกจากที่เก็บแล้ว
การโจมตีเหล่านี้คุกคามองค์กรทางอ้อมโดยการโจมตีผู้จำหน่ายบุคคลที่สามที่จัดหาซอฟต์แวร์หรือบริการให้พวกเขา เนื่องจากโดยทั่วไปแล้วผู้ให้บริการดังกล่าวถือเป็นผู้เผยแพร่โฆษณาที่เชื่อถือได้องค์กรจึงมักใช้เวลาน้อยลงในการตรวจสอบว่าแพ็กเกจที่พวกเขาบริโภคนั้นปราศจากมัลแวร์
ในแพ็กเกจปัญหาที่ระบุที่ได้รับความนิยมมากที่สุดคือ Atlas-client ซึ่งเมื่อมองแวบแรกแทบจะแยกไม่ออกจากแพ็คเกจ atlas_client ที่ถูกต้อง แพ็กเกจที่ระบุถูกดาวน์โหลด 2100 ครั้ง (แพ็กเกจปกติดาวน์โหลด 6496 ครั้งนั่นคือผู้ใช้ทำผิดเกือบ 25% ของกรณี)
แพ็กเกจที่เหลือถูกดาวน์โหลดโดยเฉลี่ย 100-150 ครั้งและถูกพรางสำหรับแพ็กเกจอื่น ๆ โดยใช้เทคนิคการขีดเส้นใต้และการแทนที่ด้วยยัติภังค์เดียวกัน (ตัวอย่างเช่นระหว่างแพ็กเก็ตที่เป็นอันตราย: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, assets-validators, ar_octopus- การติดตามการจำลองแบบ, aliyun-open_search, aliyun-mns, ab_split, apns-Polly).
หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการศึกษานี้คุณสามารถอ่านรายละเอียดได้ใน ลิงค์ต่อไปนี้