Khi các nhà phát triển ngày càng nắm bắt các thành phần phần mềm sẵn có trong các ứng dụng và dịch vụ của họ, các tác nhân đe dọa đang lạm dụng các kho lưu trữ nguồn mở như RubyGems để phân phối các gói độc hại, nhằm mục đích thỏa hiệp máy tính của họ hoặc các dự án phần mềm backlink mà họ làm việc.
Trong nghiên cứu mới nhất được chia sẻ với The Hacker News, các chuyên gia an ninh mạng tại ReversingLabs đã tiết lộ về 700 viên ngọc độc hại – các gói được viết bằng ngôn ngữ lập trình Ruby – những kẻ tấn công chuỗi cung ứng đã bị bắt gần đây đang phân phối thông qua kho lưu trữ của RubyGems.
Chiến dịch độc hại tận dụng kỹ thuật đánh máy nơi những kẻ tấn công đã tải lên cố ý viết sai các gói hợp pháp với hy vọng rằng các nhà phát triển không mong muốn sẽ gõ nhầm tên và vô tình cài đặt thư viện độc hại thay thế.
ReversingLabs cho biết các gói đánh máy được đề cập đã được tải lên RubyGems trong khoảng thời gian từ ngày 16 đến 25 tháng 2 và hầu hết chúng được thiết kế để đánh cắp tiền bằng cách chuyển hướng các giao dịch tiền điện tử đến địa chỉ ví dưới sự kiểm soát của kẻ tấn công.
Nói cách khác, điều này đặc biệt tấn công chuỗi cung ứng nhắm mục tiêu các nhà phát triển Ruby với các hệ thống Windows, những người cũng tình cờ sử dụng các máy để thực hiện giao dịch Bitcoin.
Sau khi phát hiện được tiết lộ riêng cho những người bảo trì RubyGems, những viên ngọc độc hại và tài khoản của những kẻ tấn công có liên quan đã bị xóa, gần hai ngày sau đó vào ngày 27 tháng 2.
“Được tích hợp chặt chẽ với các ngôn ngữ lập trình, kho lưu trữ giúp dễ dàng sử dụng và quản lý các thành phần của bên thứ ba”, công ty an ninh mạng nói.
“Do đó, bao gồm cả sự phụ thuộc dự án khác đã trở nên dễ dàng như nhấp vào nút hoặc chạy lệnh đơn giản trong môi trường nhà phát triển. Nhưng chỉ cần nhấp vào nút hoặc chạy lệnh đơn giản đôi khi có thể là một điều nguy hiểm, vì các tác nhân đe dọa cũng chia sẻ mối quan tâm sự tiện lợi này bằng cách thỏa hiệp các tài khoản nhà phát triển hoặc môi trường xây dựng của họ và bằng tên gói chính tả, “nó thêm vào.
Đánh cắp Ruby Gems để đánh cắp tiền điện tử
Đánh máy là một hình thức tấn công thương hiệu điều đó thường phụ thuộc vào người dùng tự gây hại bằng cách nhập sai địa chỉ web hoặc tên thư viện mạo danh các gói phổ biến trong đăng ký phần mềm.
RubyGems là một trình quản lý gói phổ biến giúp các nhà phát triển dễ dàng phân phối, quản lý và cài đặt các chương trình và thư viện Ruby.
Sử dụng một danh sách các loại đá quý phổ biến làm cơ sở cho cuộc điều tra của họ, các nhà nghiên cứu đã theo dõi các loại đá quý mới được xuất bản trong kho lưu trữ và gắn cờ bất kỳ thư viện nào có tên tương tự từ danh sách cơ sở.
Những gì họ tìm thấy là một số gói – chẳng hạn như “atlas-client” đóng vai trò là viên ngọc “atlas_client” – chứa các tệp thực thi di động (PE) giả mạo như một tệp hình ảnh dường như vô hại (“aaa.png”).
Trong quá trình cài đặt, tệp hình ảnh được đổi tên từ ‘aaa.png’ thành ‘a.exe’ và được thực thi, chứa VBScript được mã hóa trong Base64, giúp phần mềm độc hại tiếp tục tồn tại trên hệ thống bị nhiễm và chạy mỗi khi khởi động hoặc khởi động lại.
Bên cạnh đó, VBScript không chỉ thu thập dữ liệu clipboard của nạn nhân liên tục mà nếu thấy rằng nội dung của bảng tạm phù hợp với định dạng của địa chỉ ví tiền điện tử, nó sẽ thay thế địa chỉ bằng một thay thế do kẻ tấn công kiểm soát (“1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc“).
“Với điều này, diễn viên đe dọa đang cố gắng chuyển hướng tất cả các giao dịch tiền điện tử tiềm năng đến địa chỉ ví của họ”, các nhà nghiên cứu ReversingLabs cho biết.
Mặc dù không có giao dịch nào được thực hiện với ví này, nhưng tất cả các viên ngọc độc hại đã được truy tìm đến hai chủ tài khoản là “JimCarrey” và “PeterG Ribbon” với “atlas-client” đăng ký 2.100 lượt tải xuống, khoảng 30% tổng số lượt tải xuống được cung cấp bởi hợp pháp đá quý “atlas_client”.
Đánh máy trong các gói phần mềm đang tăng
Đây không phải là lần đầu tiên tấn công lỗi chính tả loại này đã được phát hiện.
Các nền tảng kho lưu trữ phổ biến như Chỉ mục gói Python (PyPi) và trình quản lý gói Node.js do GitHub sở hữu chiều đã nổi lên như là hiệu quả tấn công vectơ để phân phối phần mềm độc hại.
Do thiếu sự xem xét kỹ lưỡng trong quá trình gửi, xem xét và phê duyệt gói, các tác giả phần mềm độc hại dễ dàng xuất bản các thư viện trojanized với tên rất gần với các gói hiện có.
Chúng tôi khuyên các nhà phát triển vô tình tải các thư viện vào các dự án của họ nên kiểm tra xem họ đã sử dụng đúng tên gói và không vô tình sử dụng các phiên bản được đánh máy.
