Кілька днів тому Випущено дослідники ReversingLabs через допис у блозі, результати аналізу використання типосквотингу у сховищі RubyGems. Зазвичай типосквоттинг використовується для розповсюдження шкідливих пакетів розроблений, щоб дозволити неуважному розробнику зробити друкарську помилку або не помітити різниці.
Дослідження виявило понад 700 упаковок, cЇх імена схожі на популярні пакунки та відрізняються незначними деталями, наприклад, замінюючи подібні літери або використовуючи підкреслення замість дефісів.
Щоб уникнути таких заходів, зловмисні люди завжди шукають нових векторів атак. Один із таких векторів, який називається атакою на ланцюжок постачання програмного забезпечення, стає все більш популярним.
З аналізованих пакетів було зазначено, що виявлено більше 400 упаковок, що містять підозрілі компоненти de зловмисна діяльність. Зокрема, в межах Файл був aaa.png, який включав виконуваний код у форматі PE.
Про пакети
Шкідливі пакети включали файл PNG, що містить виконуваний файл для платформи Windows замість зображення. Файл створено за допомогою утиліти Ocra Ruby2Exe та включений саморозпаковується архів із сценарієм Ruby та інтерпретатором Ruby.
При встановленні пакету файл png було перейменовано на exe і все почалося. Під час виконання, файл VBScript був створений і доданий до автозапуску.
Шкідливий VBScript, зазначений у циклі, сканував вміст буфера обміну на наявність інформації, подібної до адрес крипто-гаманця, і у разі виявлення замінив номер гаманця з розрахунком, що користувач не помітить відмінностей і переведе кошти на неправильний гаманець.
Типосквотті особливо цікаві. Використовуючи цей тип атаки, вони навмисно називають шкідливі пакети, щоб якомога більше нагадувати популярні, в надії, що нічого не підозрюючий користувач помилково напише ім’я та навмисно встановить шкідливий пакет.
Дослідження показало, що неважко додати шкідливі пакети до одного з найпопулярніших сховищ і ці пакети можуть залишатися непоміченими, незважаючи на значну кількість завантажень. Слід зазначити, що проблема не стосується RubyGems і стосується інших популярних сховищ.
Наприклад, минулого року ті самі дослідники визначили в сховище NPM - шкідливий пакет bb-builder, який використовує подібну техніку запустити виконуваний файл для викрадення паролів. До цього був знайдений бэкдор у залежності від пакету NPM потоку подій, і шкідливий код було завантажено приблизно 8 мільйонів разів. Зловмисні пакети також періодично з’являються у сховищах PyPI.
Ці пакети вони були пов’язані з двома рахунками через який, З 16 по 25 лютого 2020 року було опубліковано 724 шкідливі пакетиs у RubyGems, які загалом були завантажені приблизно 95 тисяч разів.
Дослідники повідомили адміністрацію RubyGems, і виявлені зловмисні програми вже видалено зі сховища.
Ці атаки побічно загрожують організаціям, нападаючи на сторонніх постачальників, які надають їм програмне забезпечення або послуги. Оскільки таких постачальників, як правило, вважають видавцями, яким довіряють, організації, як правило, витрачають менше часу на перевірку того, чи споживають вони пакунки справді без шкідливих програм.
З виявлених проблемних пакетів найпопулярнішим був клієнт атласу, який на перший погляд майже не відрізняється від законного пакета atlas_client. Вказаний пакет було завантажено 2100 разів (звичайний пакет завантажено 6496 разів, тобто користувачі помилялися майже в 25% випадків).
Решта пакунків завантажувались у середньому 100-150 разів і маскувались для інших пакетів використовуючи ту саму техніку підкреслення та заміни дефісом (наприклад, між шкідливими пакетами: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, imov-validators, ar_octopus- відстеження реплікації, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Якщо ви хочете дізнатись більше про проведене дослідження, ви можете ознайомитися з деталями в наступне посилання.