最近发现有超过725个恶意包被下载了数千次，这些恶意包充斥在RubyGems中。RubyGems是发布Ruby编程语言的程序和代码库的官方渠道。

 

安全公司inglabs的联合创始人兼首席软件架构师Tomislav Pericin告诉Ars，沐鸣开户测速恶意软件包被下载了近10万次，尽管其中很大一部分可能是脚本自动抓取存储库中所有15.8万个软件包的结果。所有这些信息都来自两个用户账户:“金凯利”和“彼得吉本斯”。

 

这些账户(reverse inglabs怀疑可能是某个人所为)使用了一种变体的拼写技术，即给恶意文件或域名起一个与可识别名称相似的名字，以给人一种合法的印象。例如，“atlas_client”是一个有2100次下载的陷阱包，它代替了真正的“atlas_client”包。从2月16日到25日，超过700个包裹被上传。

 

安装后，这些包会执行一个脚本，试图拦截在Windows设备上进行的比特币支付。分析师Tomislav Maljic在一篇帖子中写道:

 

脚本本身相当简单。首先，它在“%PROGRAMDATA%\Microsoft Essentials %\ Software Essentials”上创建一个新的VBScript Sle，其中包含主恶意循环。根据“路径。作为其持久性机制，它随后创建一个新的自动注册表项“HCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Software Essentials”。这样，恶意软件就能确保每次系统启动或重启时它都能运行。

 

当“软件必备”。vbs”恶意脚本执行，沐鸣开户测速它开始一个无限循环，在那里它捕获用户的剪贴板数据与以下代码行:

 

Set objHTML = CreateObject("htmlfile")

 

文本= objHTML.ParentWindow.ClipboardData.GetData(“文本”)

 

然后脚本检查剪贴板数据是否与加密货币钱包地址的格式匹配。如果是，它会在一个隐藏窗口中使用一个由攻击者控制的“1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc”来替换地址，使用的命令如下:

 

WScript。运行“C:\Windows\System32\cmd.exe / C echo 1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc | clip”，0

 

通过这种方式，威胁参与者试图将所有潜在的加密货币交易重定向到他们的钱包地址。在写这篇博客的时候，这个钱包似乎没有任何交易。

 

RubyGems的维护人员没有回复寻求置评的电子邮件。

 

最近的几个

 

这绝不是人们第一次使用typosquatting将恶意包偷偷地放入广泛使用的开放源码存储库中。2016年，一名大学生向RubyGems、PyPi和NPM上传了草图脚本，这三家网站分别是Python、Ruby和JavaScript编程语言的开发者的社区网站。该学生脚本中的一个电话家庭功能显示，冒名代码在17,000多个不同的域中被执行了超过45,000次，而他的代码有一半以上的时间被赋予了强大的管理权。两个受影响的域名以。mil结尾，这表明美国军方内部的人已经运行了他的脚本。

 

攻击者很快采用了这种技术。2018年，沐鸣开户测速一名袭击者将一名剪贴板劫机者潜入PyPi。这个恶意包名为“Colourama”，看起来很像Colorama，它是Python库中下载次数最多的前20个合法模块之一。这个恶意软件包被下载了171次，不包括从镜像站点下载的次数。

 

一个月后，攻击者成功实现了一个更令人印象深刻的壮举，他们将一个窃取比特币的后门潜入事件流，这是一个从NPM存储库下载了200万次的代码库。一个名为CoPay的货币钱包的开发者将这个恶意库合并到更新中，并警告说，任何受污染版本信任的私钥都应该被视为受到了攻击。

 

这个大学生在2016年的实验，以及合法的事件流库的陷阱，证明了对开源库的供应链攻击是在敏感机器上执行恶意代码的有效方法。今年RubyGems的活动表明，这些供应链攻击不会很快消失。

 

“对于软件开发人员来说，几乎没有什么保护措施可以确保他们从这些软件库中安装的软件包是没有恶意软件的，”reveringlabs的联合创始人伯里金说。“目前市场上存在一个巨大的缺口，被恶意软件作者利用了。”