760多个恶意软件包发现rubygems

研究人员发现了超过760个恶意红宝石套餐(又名“gems”)用RubyGems,Ruby社区的GEM存储库/托管服务键入。

typosquatting. ruby​​gems.

发现

reversinglabs分析师希望了解普遍普遍的做法 包打字机 is within RubyGems.

该惯例是指故意使用与流行套餐非常相似的包装名称(例如, 阿特拉斯 - 客户 代替 atlas_client.),具有欺骗用户执行它们的后致意图,因此,在不知不觉中运行恶意代码。

“我们制作了作为基准的最受欢迎的宝石列表。每周一次,我们收集了新推向RubyGems存储库的宝石。如果我们检测到具有与任何基线列表宝石的类似名称的新宝石,我们将其标记为分析有趣,”威胁分析师TomislavMaljić 解释.

在分析它们之后,它们发现所有包含具有相同文件名和PNG扩展名的可执行文件,它们假设用于使可执行文件视为图像文件。该文件也位于每个GEM中的同一路径上。

包还包含GemSpec文件–包含有关GEM的基本元数据的文件,但也可以包括有关扩展的信息–它运行一个检查目标平台的扩展,如果是’S Windows,它将PNG文件重命名为EXE文件并执行它。

Opis.

然后运行一个Ruby脚本,它会创建一个额外的脚本,转向转弯:

  • SREATES Autorun注册表项以确保持久性
  • 在无限循环中捕获用户的剪贴板数据
  • 检查数据是否与加密货币地址的格式匹配,如果确实,则使用攻击者控制的地址替换它。

其目标是将所有潜在的加密货交易重定向到攻击者’s wallet.

重复攻击

所有恶意宝石由两个账户发布,研究人员认为是由同一威胁演员创造的。事实上,他们认为,同样的威胁演员至少安装了至少两个对rubygems存储库的恶意运动。

“The same file path ‘/ Ext / Trellislike / Unflaming / Waffling /’用于所有攻击。同样,恶意意图与所有情况下的加密有关,”Maljić解释了他们的推理。

reversinglabs提供了一个列表 受影响的包裹从rubygems中删除了它。威胁演员创建的两个帐户已被暂停。

这不是第一次威胁演员试图在软件存储库中植入恶意软件包,以获得流行的编程语言。 reversinglabs以前标记了一批 恶意Python库 托管在Python包索引(PYPI)上,Developer Jussi Koljonen发现,RubyGems上的几个流行的Ruby软件包 trojanized. 窃取信息和矿井加密货币。

分享这个