الأخبار التكنولوجية والاستعراضات والنصائح!

تم العثور على أكثر من 700 مكتبة ضارة مكتوبة بخطأ مطبعي في مستودع RubyGems


مع تبني المطورين بشكل متزايد لمكونات البرامج الجاهزة في تطبيقاتهم وخدماتهم ، يسيء فاعلو التهديد إلى مستودعات مفتوحة المصدر مثل RubyGems لتوزيع حزم ضارة ، تهدف إلى اختراق أجهزة الكمبيوتر الخاصة بهم أو مشاريع البرامج الخلفية التي يعملون عليها.

في أحدث الأبحاث التي تمت مشاركتها مع The Hacker News ، كشف خبراء الأمن السيبراني في ReversingLabs عن أكثر من 700 جوهرة ضارة – حزم مكتوبة بلغة برمجة Ruby – تم اكتشاف مهاجمين في سلسلة التوريد وهم يقومون بالتوزيع مؤخرًا من خلال مستودع RubyGems.

استفادت الحملة الخبيثة من تقنية القتل الخاطئ حيث قام المهاجمون بتحميل حزم شرعية خاطئة عن قصد على أمل أن يخطئ المطورون غير المرغوبين في الاسم ويثبتون المكتبة الخبيثة عن غير قصد بدلاً من ذلك.

قالت ReversingLabs أنه تم تحميل الحزم المكتوبة بالأخطاء المطبعية المعنية إلى RubyGems بين 16 فبراير و 25 فبراير ، وقد تم تصميم معظمها لسرقة الأموال سرًا عن طريق إعادة توجيه معاملات العملة المشفرة إلى عنوان المحفظة تحت سيطرة المهاجم.

وبعبارة أخرى ، هذا خاص هجوم سلسلة التوريد استهدف مطوري روبي مع Windows الأنظمة التي تصادف أيضًا استخدام الآلات لإجراء معاملات البيتكوين.

بعد الكشف عن النتائج بشكل خاص لمشرفي RubyGems ، تمت إزالة الجواهر الخبيثة وحسابات المهاجمين المرتبطة بها ، بعد يومين تقريبًا في 27 فبراير.

وقالت شركة الأمن السيبراني: "من خلال التكامل الوثيق مع لغات البرمجة ، فإن المستودعات تجعل من السهل استهلاك وإدارة مكونات الطرف الثالث".

"وبالتالي ، أصبح تضمين تبعية أخرى للمشروع أمرًا سهلاً مثل النقر على زر أو تشغيل أمر بسيط في بيئة المطور. ولكن مجرد النقر على زر أو تشغيل أمر بسيط يمكن أن يكون أمرًا خطيرًا في بعض الأحيان ، حيث تشارك الجهات المهتمة بالاهتمام أيضًا في وأضاف: "هذه الراحة من خلال المساومة بحسابات المطورين أو بيئات البناء الخاصة بهم ، وبأسماء حزم أخطاء الطباعة".

Typosquatting روبي الأحجار الكريمة لسرقة العملة المشفرة

Typosquatting هو شكل من أشكال هجوم سرقة العلامة التجارية الذي يعتمد عادة على المستخدمين الذين يضعون أنفسهم في طريق الأذى عن طريق الخطأ في كتابة عنوان الويب أو اسم المكتبة الذي ينتحل شخصية الحزم الشائعة في سجلات البرامج.

RubyGems هو مدير حزم شهير يسهل على المطورين توزيع وإدارة وتثبيت برامج ومكتبات Ruby.

البرامج الخبيثة rubygem الخبيثة

باستخدام قائمة الأحجار الكريمة الشعبية كخط أساس لتحقيقهم ، راقب الباحثون الأحجار الكريمة الجديدة التي تم نشرها في المستودع وأبلغوا عن أي مكتبة من هذا القبيل لها اسم مشابه من القائمة الأساسية.

ما توصلوا إليه هو عدة حزم – مثل "atlas-client" تتظاهر على أنها جوهرة "atlas_client" – تحتوي على ملفات تنفيذية محمولة (PEs) تم تنكرها كملف صورة يبدو غير ضار ("aaa.png").

أثناء التثبيت ، تتم إعادة تسمية ملف الصورة من "aaa.png" إلى "a.exe" وتنفيذه ، والذي يحتوي على VBScript المشفر في Base64 والذي يساعد البرامج الضارة في الحصول على ثبات على النظام المصاب وتشغيله في كل مرة يتم تشغيله أو إعادة تشغيله.

بالإضافة إلى ذلك ، لا يقوم VBScript فقط بالتقاط بيانات حافظة الضحية بشكل مستمر ولكن إذا وجد أن محتوى الحافظة يطابق تنسيق عنوان محفظة العملات المشفرة ، فإنه يستبدل العنوان ببديل يتحكم به المهاجم ("1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc").

وقال باحثو ReversingLabs "مع هذا ، يحاول ممثل التهديد إعادة توجيه جميع معاملات العملة المشفرة المحتملة إلى عنوان محفظته".

البرامج الخبيثة rubygem الخبيثة

على الرغم من عدم إجراء أي معاملات في هذه المحفظة ، فقد تم تتبع جميع الأحجار الكريمة الخبيثة إلى اثنين من أصحاب الحسابات ، "JimCarrey" و "PeterGibbons" ، مع تسجيل "atlas-client" 2،100 عملية تنزيل ، أي ما يقرب من 30٪ من إجمالي التنزيلات التي تم تحميلها من قِبل جوهرة "atlas_client".

مطبعي في حزم البرمجيات في ازدياد

ليست هذه هي المرة الأولى التي يتم فيها الكشف عن هجمات من النوع الخاطئ.

ظهرت منصات المستودعات المشهورة مثل Python Package Index (PyPi) و Node.js package manager npm المملوكة لـ GitHub كموجهات هجوم فعالة لتوزيع البرامج الضارة.

نظرًا لقلة التدقيق أثناء تقديم الحزمة ومراجعتها والموافقة عليها ، كان من السهل على مؤلفي البرامج الضارة نشر مكتبات Trojanized بأسماء قريبة جدًا من الحزم الحالية.

يُنصح بشدة أن يقوم المطورون الذين قاموا بتنزيل المكتبات عن غير قصد في مشاريعهم بالتحقق لمعرفة ما إذا كانوا قد استخدموا أسماء الحزم الصحيحة ولم يستخدموا عن طريق الخطأ النسخ المنسقة.