Một vài ngày trước, Các nhà nghiên cứu của ReversingLabs đã phát hành thông qua một bài đăng trên blog, kết quả phân tích việc sử dụng lỗi chính tả trong kho lưu trữ RubyGems. Điển hình là lỗi chính tả được sử dụng để phân phối các gói độc hại được thiết kế để cho phép nhà phát triển không giám sát mắc lỗi đánh máy hoặc không nhận thấy sự khác biệt.
Nghiên cứu tiết lộ hơn 700 gói, cTên của chúng tương tự như các gói phổ biến và khác nhau về các chi tiết nhỏ, ví dụ: bằng cách thay thế các chữ cái tương tự hoặc sử dụng dấu gạch dưới thay vì dấu gạch nối.
Để tránh các biện pháp như vậy, những kẻ độc hại luôn tìm kiếm các vectơ tấn công mới. Một vectơ như vậy, được gọi là cuộc tấn công chuỗi cung ứng phần mềm, đang ngày càng trở nên phổ biến.
Trong số các gói được phân tích, người ta lưu ý rằng hơn 400 gói được xác định có chứa các thành phần đáng ngờ de hoạt động độc hại. Đặc biệt, trong Tệp là aaa.png, bao gồm mã thực thi ở định dạng PE.
Về các gói
Các gói độc hại bao gồm một tệp PNG chứa một tệp thực thi cho nền tảng Windows thay vì một hình ảnh. Tệp được tạo bằng tiện ích Ocra Ruby2Exe và bao gồm một kho lưu trữ tự giải nén với tập lệnh Ruby và trình thông dịch Ruby.
Khi cài đặt gói, tệp png được đổi tên thành exe và nó bắt đầu. Trong khi thực hiện, một tệp VBScript đã được tạo và thêm vào tự động khởi động.
VBScript độc hại được chỉ định trong một vòng lặp đã quét nội dung khay nhớ tạm để tìm thông tin tương tự như địa chỉ ví tiền điện tử và trong trường hợp bị phát hiện, thay thế số ví với mong muốn rằng người dùng sẽ không nhận thấy sự khác biệt và sẽ chuyển tiền đến nhầm ví.
Đánh máy đặc biệt thú vị. Sử dụng kiểu tấn công này, họ cố tình đặt tên cho các gói độc hại để trông giống những gói phổ biến nhất có thể, với hy vọng rằng người dùng không nghi ngờ sẽ viết sai tên và vô tình cài đặt gói độc hại thay thế.
Nghiên cứu cho thấy không khó để thêm các gói độc hại vào một trong những kho phổ biến nhất và các gói này có thể không được chú ý, mặc dù có số lượng tải xuống đáng kể. Cần lưu ý rằng vấn đề không dành riêng cho RubyGems và áp dụng cho các kho lưu trữ phổ biến khác.
Ví dụ: năm ngoái, cùng một nhà nghiên cứu đã xác định kho lưu trữ của NPM một gói bb-builder độc hại sử dụng kỹ thuật tương tự để chạy một tệp thực thi nhằm lấy cắp mật khẩu. Trước đó, một cửa hậu đã được tìm thấy tùy thuộc vào gói NPM của luồng sự kiện và mã độc đã được tải xuống khoảng 8 triệu lần. Các gói độc hại cũng xuất hiện định kỳ trong kho PyPI.
Những gói này họ được liên kết với hai tài khoản thông qua đó, Từ ngày 16 tháng 25 đến ngày 2020 tháng 724 năm XNUMX, XNUMX gói tin độc hại đã được xuất bảns trong RubyGems tổng cộng đã được tải xuống khoảng 95 nghìn lần.
Các nhà nghiên cứu đã thông báo cho ban quản trị RubyGems và các gói phần mềm độc hại được xác định đã bị xóa khỏi kho lưu trữ.
Những cuộc tấn công này gián tiếp đe dọa các tổ chức bằng cách tấn công các nhà cung cấp bên thứ ba cung cấp phần mềm hoặc dịch vụ cho họ. Vì các nhà cung cấp như vậy thường được coi là nhà xuất bản đáng tin cậy, các tổ chức có xu hướng dành ít thời gian hơn để xác minh rằng các gói mà họ sử dụng thực sự không có phần mềm độc hại.
Trong số các gói sự cố được xác định, phổ biến nhất là ứng dụng khách bản đồ, mà thoạt nhìn gần như không thể phân biệt được với gói atlas_client hợp pháp. Gói được chỉ định đã được tải xuống 2100 lần (gói bình thường được tải xuống 6496 lần, tức là người dùng đã sử dụng sai trong gần 25% trường hợp).
Các gói còn lại được tải xuống trung bình 100-150 lần và được ngụy trang cho các gói khác sử dụng cùng một kỹ thuật thay thế gạch chân và gạch nối (ví dụ: giữa các gói độc hại: appium-lib, action-mailer_cache_delivery, active model_validators, asciidoctor_bibliography, asset-pipe, asset-validators, ar_octopus- replication theo dõi, aliyun-open_search, aliyun-mns, ab_split, apns-history).
Nếu bạn muốn biết thêm về nghiên cứu được thực hiện, bạn có thể tham khảo thông tin chi tiết trong liên kết theo dõi.