幾天前 ReversingLabs研究人員發布 通過博客文章, 使用域名搶注的分析結果 在RubyGems存儲庫中。 典型的搶注 用於分發惡意軟件包 旨在讓無人看管的開發人員輸入錯誤或忽略差異。
研究發現700多個包裝它們的名稱與流行的軟件包相似,但在次要細節上有所不同,例如,替換相似的字母或使用下劃線代替連字符。
為了避免此類措施,惡意人員一直在尋找新的攻擊媒介。 一種稱為軟件供應鏈攻擊的媒介正變得越來越流行。
在分析的軟件包中,注意到 超過400個包裹被確認包含可疑成分d惡意活動。 特別是在 該文件為aaa.png,其中包含PE格式的可執行代碼。
關於包裝
惡意軟件包包括一個包含可執行文件的PNG文件。 Windows平台而不是映像。 該文件是使用Ocra Ruby2Exe實用程序生成的,並包含 一個帶有Ruby腳本和Ruby解釋器的自解壓檔案.
安裝軟件包時,png文件已重命名為exe。 它開始了。 執行期間, VBScript文件已創建並添加到自動啟動.
在循環中指定的惡意VBScript掃描剪貼板內容以獲取類似於加密錢包地址的信息,並且在檢測到情況下,以期望用戶不會注意到差異並將資金轉移到錯誤的錢包的方式替換了錢包編號。
打qua特別有趣。 他們使用這種類型的攻擊故意將惡意軟件包命名為盡可能類似於流行的軟件包,以期一個毫無戒心的用戶會拼寫該名稱並無意中安裝了惡意軟件包。
研究表明,將惡意軟件包添加到最受歡迎的存儲庫之一併不難 儘管下載量很大,但這些軟件包仍可能會被忽略。 應該注意的是,該問題並非特定於RubyGems,而是適用於其他流行的存儲庫。
例如,去年,同一位研究人員在 的資料庫 NPM使用類似技術的惡意bb-builder軟件包 運行可執行文件以竊取密碼。 在此之前,根據事件流NPM軟件包發現了一個後門,惡意代碼被下載了大約8萬次。 惡意軟件包還定期出現在PyPI存儲庫中。
這些包 他們與兩個帳戶相關聯 通過這, 16年25月2020日至724月XNUMX日,發布了XNUMX個惡意數據包在RubyGems中總共下載了約95次。
研究人員已通知RubyGems管理,並且已從存儲庫中刪除了已識別的惡意軟件包。
這些攻擊通過攻擊向第三方供應商提供軟件或服務的供應商,從而間接威脅組織。 由於此類供應商通常被認為是受信任的發布者,因此組織傾向於花費更少的時間來驗證他們使用的軟件包是否真正不含惡意軟件。
在確定的問題包中,最受歡迎的是atlas-client, 乍一看,它與合法的atlas_client軟件包幾乎沒有區別。 指定的軟件包被下載了2100次(普通軟件包被下載了6496次,也就是說,在幾乎25%的情況下,用戶都錯了)。
其餘軟件包平均下載100-150次,並偽裝成其他軟件包 使用相同的下劃線和連字符替換技術(例如,在惡意數據包之間: appium-lib,action-mailer_cache_delivery,activemodel_validators,asciidoctor_bibliography,assets-pipeline,assets-validators,ar_octopus-複製跟踪,aliyun-open_search,aliyun-mns,ab_split,apns-polite).
如果您想進一步了解所進行的研究,可以在 以下鏈接。