Birkaç gün önce ReversingLabs araştırmacıları ortaya çıktı Bloglarındaki bir yayın aracılığıyla, yazım hatası kullanımının analizinin sonuçları RubyGems deposunda. Tipik olarak yazım hatası Kötü amaçlı paketleri dağıtmak için kullanılır Dikkatsiz geliştiricinin yazım hatası yapmasına veya farkı fark etmemesine izin verecek şekilde tasarlanmıştır.
Çalışmada 700'den fazla paket ortaya çıktı.Adları popüler paketlere benzer ve benzer harflerin değiştirilmesi veya kısa çizgi yerine alt çizgi kullanılması gibi küçük ayrıntılarda farklılık gösterir.
Bu tür önlemlerden kaçınmak için kötü niyetli kişiler her zaman yeni saldırı vektörleri ararlar. Yazılım tedarik zinciri saldırısı olarak adlandırılan böyle bir vektör giderek daha popüler hale geliyor.
Analiz edilen paketlerden şunlar kaydedildi: Şüpheli bileşenler içeren 400'den fazla paket tespit edildiKötü niyetli etkinlik. Özellikle, bünyesinde dosya, PE formatında yürütülebilir kod içeren aaa.png idi.
Paketler hakkında
Kötü amaçlı paketler, yürütülebilir bir dosya içeren bir PNG dosyası içeriyordu bir görüntü yerine Windows platformu için. Dosya Ocra Ruby2Exe yardımcı programı kullanılarak oluşturuldu ve dahil edildi Ruby betiği ve Ruby yorumlayıcısıyla kendi kendine açılan bir arşiv.
Paketi yüklerken png dosyasının adı exe olarak değiştirildi ve başladı. Yürütme sırasında, bir VBScript dosyası oluşturuldu ve otomatik başlatmaya eklendi.
Belirtilen kötü amaçlı VBScript, bir döngü içinde panonun içeriğini kripto cüzdan adreslerine benzer bilgiler için analiz etti ve tespit edilmesi durumunda, kullanıcının farklılıkları fark etmeyeceği ve fonları cüzdan numarasına aktaracağı beklentisiyle cüzdan numarasını değiştirdi. yanlış cüzdan.
Typosquatting özellikle ilginçtir. Bu tür bir saldırıyı kullanarak, şüpheli olmayan bir kullanıcının adı yanlış yazmasını ve bunun yerine istemeden kötü amaçlı paketi kurmasını umarak, kötü amaçlı paketleri popüler paketlere olabildiğince benzer görünecek şekilde kasıtlı olarak adlandırırlar.
Çalışma, kötü amaçlı paketleri en popüler depolardan birine eklemenin zor olmadığını gösterdi ve bu paketler, önemli sayıda indirme işlemine rağmen fark edilmeden kalabilir. Sorunun RubyGems'e özel olmadığını ve diğer popüler depolar için de geçerli olduğunu belirtmekte fayda var.
Örneğin geçen yıl aynı araştırmacılar şunları tespit etti: deposu NPM, benzer bir teknik kullanan kötü niyetli bir bb-builder paketi parolaları çalmak amacıyla yürütülebilir bir dosyayı çalıştırmak için. Bundan önce olay akışı NPM paketine bağlı olarak bir arka kapı bulunmuş ve kötü amaçlı kod yaklaşık 8 milyon kez indirilmişti. Kötü amaçlı paketler ayrıca PyPI depolarında periyodik olarak görünür.
Bu paketler iki hesapla ilişkilendirildi içinden, 16 Şubat - 25 Şubat 2020 tarihleri arasında 724 kötü amaçlı paket yayınlandıRubyGems üzerinde toplamda yaklaşık 95 bin kez indirildi.
Araştırmacılar RubyGems yönetimini bilgilendirdi ve tespit edilen kötü amaçlı yazılım paketleri zaten depodan kaldırıldı.
Bu saldırılar, onlara yazılım veya hizmet sağlayan üçüncü taraf satıcılara saldırarak kuruluşları dolaylı olarak tehdit eder. Bu tür sağlayıcılar genellikle güvenilir yayıncılar olarak kabul edildiğinden kuruluşlar, tükettikleri paketlerin aslında kötü amaçlı yazılım içermediğini doğrulamak için daha az zaman harcama eğilimindedir.
Tanımlanan sorun paketlerinden en popüler olanı atlas istemcisiydi. ilk bakışta meşru atlas_client paketinden neredeyse ayırt edilemez. Belirtilen paket 2100 kez indirildi (normal paket 6496 kez indirildi, yani kullanıcılar vakaların neredeyse %25'inde yanılmıştı).
Geri kalan paketler ortalama 100-150 kez indirilip diğer paketlere kamufle edildi aynı alt çizgi ve kısa çizgi değiştirme tekniğini kullanarak (örneğin, kötü amaçlı paketler arasında: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, asset-pipeline, asset-validators, ar_octopus-replication izleme, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Yapılan çalışma hakkında daha fazla bilgi edinmek isterseniz ayrıntılara başvurabilirsiniz. aşağıdaki bağlantı.