نرم افزار مخرب در 725 کتابخانه IT Ruby Borns یافت شد

محققان امنیتی ReversingLabs گفتند که آنها در 725 کتابخانه روبی که در مخزن رسمی RubyGems بارگذاری شده اند ، بدافزار پیدا کردند. این شامل عملکرد ضبط کلیپ بورد کاربران است.

Tomislav Maljic ، تحلیلگر تهدید در ReversingLabs ، جزئیات این پست وبلاگ را فاش کرد. کتابخانه های مخرب در مخزن رسمی RubyGems پیدا شدند. RubyGems یک مدیر بسته برای زبان برنامه نویسی Ruby است. طبق آمار سایت ، این مخزن حاوی حدود 158،000 بسته (به نام میکروب ها) با بارگیری تقریبا 49 میلیارد دلار است. بطور کلی ، پرونده گوهر یک بایگانی نوار (TAR) با ساختار اساسی زیر است:

(منبع: ReversingLabs)

فهرست راهنما شامل bin binary binary files (در صورت وجود) ، lib فروشگاه شامل كد جواهرات ، و فهرست آزمون شامل آزمایشات است. Rakefile توسط Rake ، مشابه برنامه اجرا شده در Ruby ، ​​برای خودکارسازی تست ها و تولید کد استفاده می شود. پرونده Gemspec شامل ابرداده های اساسی درباره Gem (مانند نویسنده ، نسخه ، توضیحات) است ، اما ممکن است حاوی اطلاعات اضافی در مورد برنامه های افزودنی باشد که بعدا مفید خواهد بود.

تیم امنیتی ReversingLabs در مخازن در مقیاس بزرگ برای تجزیه و تحلیل تخصص دارد. برای این منظور ، تحلیلگران امنیتی پرونده های موجود در مخزن را به دسته بندی تقسیم می کنند. در حین اسکن ، پرونده های PE نیز در مخزن پیدا شده و سپس مورد بازرسی کامل تری قرار گرفتند.

عفونت در فوریه 2020

بسته های مخرب بین 16 تا 25 فوریه توسط دو حساب به نام های JimCarrey و PeterGibbons به RubyGems ارسال شد. 725 کتابخانه (که کاملاً در اینجا ذکر شده اند) دو روز بعد ، در تاریخ 27 فوریه 2020 ، پس از آنکه تیم ReversingLabs به تیم امنیتی RubyGems اطلاع دادند ، از مخزن حذف شدند.

تمام کتابخانه های روبی کپی از کتابخانه های حقوقی بودند. از اسامی مشابه استفاده شد و کتابخانه ها همانطور که در نظر گرفته شده بود کار کردند. با این حال ، کتابخانه ها حاوی پرونده های مخرب اضافی بودند. پرونده aaa.png در هر بسته درج شده است. ReversingLabs می نویسد که این پرونده یک تصویر PNG نیست ، بلکه یک پرونده قابل اجرا با ویندوز PE است.

(منبع: ReversingLabs)

ZDnet در اینجا توضیحات مربوط به زنجیره عفونت را در کنار هم آورده است (شکل بالا را ببینید): روبی روبی به نام aaa.rb ذخیره شده در یک پرونده PE که شامل مفسر Ruby و تمام وابستگی های لازم برای انجام آن است. اسکریپت Ruby سپس یک اسکریپت ویژوال بیسیک با نام oh.vbs را اجرا می کند که در کلید رجیستری autorun وارد می شود و بنابراین هر بار که Windows شروع می شود یا وقتی کاربر وارد سیستم می شود اجرا می شود.

کلید autorun هر بار که Windows شروع به خواندن کلیپ بورد می کرد ، یک اسکریپت ویژوال بیسیک را اجرا می کرد. به دنبال الگوهای متنی هستید که مانند آدرس های رمزنگاری شده هستند. این متون با آدرس مهاجم جایگزین می شوند. این در مورد تغییر مسیر مانده های بیت کوین بود.

طبق گفته های ReversingLabs ، کتابخانه ها توسط هزاران کاربر بارگیری شدند. با این حال ، آدرس بیت کوین که دانشمندان در گزارش خود ذکر کرده اند نشان می دهد که مهاجمان در آخرین حمله نتوانستند این وجه را بپردازند. ظاهراً هیچ یک از توسعه دهندگان روبی در رشته های بیت کوین مناسب در سیستم های خود ندارند. هکرها نیوز مقاله دیگری در این زمینه در اینجا دارد.