几天前 ReversingLabs研究人员发布 通过博客文章, 使用域名抢注的分析结果 在RubyGems存储库中。 典型的抢注 用于分发恶意软件包 旨在让不专心的开发人员输入错误或忽略差异。
研究发现700多个包装它们的名称类似于流行的软件包,但在次要细节上有所不同,例如,替换相似的字母或使用下划线代替连字符。
为了避免这种措施,恶意人员一直在寻找新的攻击媒介。 一种称为软件供应链攻击的媒介正变得越来越流行。
在分析的软件包中,注意到 确认有400多个包装中包含可疑成分d恶意活动。 特别是在 该文件为aaa.png,其中包含PE格式的可执行代码。
关于包装
恶意软件包包括一个包含可执行文件的PNG文件。 Windows平台而不是映像。 该文件是使用Ocra Ruby2Exe实用程序生成的,并包含 一个带有Ruby脚本和Ruby解释器的自解压档案.
安装软件包时,png文件已重命名为exe。 它开始了。 执行期间, VBScript文件已创建并添加到自动启动.
在循环中指定的恶意VBScript扫描剪贴板内容以获取类似于加密钱包地址的信息,并且在检测到情况下,以期望用户不会注意到差异并将资金转移到错误的钱包的方式替换了钱包编号。
打qua特别有趣。 他们使用这种类型的攻击来故意对恶意软件包进行命名,使其看起来尽可能像受欢迎的软件包,以期一个毫无戒心的用户会拼写该名称并无意中安装了恶意软件包。
研究表明,将恶意软件包添加到最受欢迎的存储库之一并不难 尽管下载量很大,但这些软件包仍可能会被忽略。 应该注意的是,该问题并非特定于RubyGems,而是适用于其他流行的存储库。
例如,去年,同一位研究人员在 的资料库 NPM使用类似技术的恶意bb-builder软件包 运行可执行文件以窃取密码。 在此之前,根据事件流NPM软件包发现了一个后门,恶意代码被下载了大约8万次。 恶意软件包还定期出现在PyPI存储库中。
这些包 他们与两个帐户相关联 通过这, 16年25月2020日至724月XNUMX日,发布了XNUMX个恶意数据包在RubyGems中总共下载了约95次。
研究人员已通知RubyGems管理部门,并且已从存储库中删除了所标识的恶意软件软件包。
这些攻击通过攻击向第三方供应商提供软件或服务的供应商,从而间接威胁组织。 由于此类供应商通常被认为是受信任的发布者,因此组织倾向于花费较少的时间来验证他们使用的软件包是否真正不含恶意软件。
在确定的问题包中,最受欢迎的是atlas-client, 乍一看,它与合法的atlas_client软件包几乎没有区别。 指定的软件包被下载了2100次(正常软件包被下载了6496次,也就是说,在几乎25%的情况下,用户将其弄错了)。
其余软件包平均下载100-150次,并伪装成其他软件包 使用相同的下划线和连字符替换技术(例如,在恶意数据包之间: appium-lib,action-mailer_cache_delivery,activemodel_validators,asciidoctor_bibliography,assets-pipeline,assets-validators,ar_octopus-复制跟踪,aliyun-open_search,aliyun-mns,ab_split,apns-polite).
如果您想进一步了解所进行的研究,可以在 以下链接。