RubyGems-da qazib olish uchun ishlatilgan 700 dan ortiq zararli paketlar aniqlandi

Bir necha kun oldin ReversingLabs tadqiqotchilari ozod qilindi blog posti orqali, typosquatting-dan foydalanishni tahlil qilish natijalari RubyGems omborida. Odatda matn terish zararli paketlarni tarqatish uchun ishlatiladi beparvolik bilan ishlab chiquvchiga xato yozish yoki farqni sezmaslik uchun ruxsat berish uchun mo'ljallangan.

Tadqiqotda 700 dan ortiq paketlar aniqlandi, vUlarning nomlari ommabop paketlarga o'xshaydi va kichik tafsilotlar bilan farq qiladi, masalan, o'xshash harflarni almashtirish yoki defis o'rniga pastki chiziqlardan foydalanish.

Bunday choralardan qochish uchun zararli odamlar doimo yangi hujum vektorlarini qidirmoqdalar. Dastur ta'minoti zanjiri hujumi deb ataladigan bunday vektorlardan biri tobora ommalashib bormoqda.

Tahlil qilingan paketlardan shuni ta'kidladilar shubhali tarkibiy qismlarni o'z ichiga olgan 400 dan ortiq paket aniqlandi de zararli faoliyat. Xususan, ichida Fayl aaa.png edi, unga PE formatida bajariladigan kod kiritilgan.

Paketlar haqida

Zararli paketlarga bajariladigan faylni o'z ichiga olgan PNG fayli kiritilgan rasm o'rniga Windows platformasi uchun. Fayl Ocra Ruby2Exe yordam dasturi yordamida yaratilgan va unga qo'shilgan Ruby stsenariysi va Ruby tarjimoni bilan o'z-o'zini ochadigan arxiv.

Paketni o'rnatishda png fayli exe deb o'zgartirildi va u boshlandi. Amalga oshirish paytida, VBScript fayli yaratilgan va avtomatik ishga tushirishga qo'shilgan.

Loopda ko'rsatilgan zararli VBScript kripto hamyon manzillariga o'xshash ma'lumotlarni qidirish uchun clipboard tarkibini skanerdan o'tkazdi va aniqlangan taqdirda, hamyon raqamini foydalanuvchi farqlarni sezmasligini va mablag'ni noto'g'ri hamyonga o'tkazishini kutdi.

Typosquatting ayniqsa qiziq. Ushbu turdagi hujumdan foydalanib, ular zararli paketlarni iloji boricha ommaboproq bo'lishiga qasddan nom berishadi, chunki shubhali foydalanuvchi nomini noto'g'ri yozadi va uning o'rniga zararli paketni beixtiyor o'rnatadi.

Tadqiqot shuni ko'rsatdiki, eng mashhur omborlardan biriga zararli paketlarni qo'shish qiyin emas va ushbu paketlar, juda ko'p miqdordagi yuklab olishlarga qaramay, e'tiborga olinmasligi mumkin. Shuni ta'kidlash kerakki, bu masala RubyGems-ga xos emas va boshqa mashhur omborlarga tegishli.

Masalan, o'tgan yili xuddi shu tadqiqotchilar ombori NPM shunga o'xshash texnikadan foydalanadigan zararli bb-builder to'plami parollarni o'g'irlash uchun bajariladigan faylni ishga tushirish. Bungacha voqealar oqimi NPM to'plamiga qarab orqa eshik topilgan va zararli kod taxminan 8 million marta yuklab olingan. Zararli paketlar vaqti-vaqti bilan PyPI omborlarida paydo bo'ladi.

Ushbu paketlar ular ikkita hisob bilan bog'liq edi bu orqali, 16 yil 25 fevraldan 2020 fevralgacha 724 zararli paketlar nashr etildiRubyGems-da jami 95 ming marta yuklab olingan.

Tadqiqotchilar RubyGems ma'muriyatiga xabar berishdi va aniqlangan zararli dastur paketlari ombordan allaqachon olib tashlangan.

Ushbu hujumlar tashkilotlarga o'zlarining dasturiy ta'minotlari yoki xizmatlarini taqdim etadigan uchinchi tomon sotuvchilariga hujum qilish orqali bilvosita tahdid soladi. Bunday sotuvchilar odatda ishonchli noshirlar hisoblanganligi sababli, tashkilotlar ular iste'mol qilayotgan paketlar zararli dasturlardan xoli ekanligini tekshirish uchun kam vaqt sarflashga moyildirlar.

Aniqlangan muammo to'plamlari orasida eng mashhuri atlas-mijoz edi, bu birinchi qarashda qonuniy atlas_client paketidan deyarli farq qilmaydi. Belgilangan paket 2100 marta yuklab olingan (oddiy paket 6496 marta yuklab olingan, ya'ni foydalanuvchilar deyarli 25% hollarda xato qilishgan).

Qolgan paketlar o'rtacha 100-150 marta yuklab olingan va boshqa paketlar uchun kamuflyaj qilingan xuddi shu chiziq chizish va defisni almashtirish usulidan foydalanish (masalan, zararli paketlar orasida: appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, aktivlar quvuri, aktivlar-validatorlar, ar_octopus- replikatsiya kuzatuvi, aliyun-open_search, aliyun-mns, ab_split, apns-muloyim).

Agar siz o'tkazilgan tadqiqotlar haqida ko'proq bilmoqchi bo'lsangiz, undagi tafsilotlar bilan tanishishingiz mumkin quyidagi havola. 


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.