Typosquatting Ruby Gems para robar criptomonedas

A medida que los desarrolladores adoptan cada vez más componentes de software estándar en sus aplicaciones y servicios, los actores de amenazas están abusando de repositorios de código abierto como RubyGems para distribuir paquetes maliciosos, con la intención de comprometer sus computadoras o proyectos de software de puerta trasera en los que trabajan.
En la última investigación compartida con The Hacker News, los expertos en ciberseguridad de ReversingLabs revelaron más de 700 gemas maliciosas , paquetes escritos en lenguaje de programación Ruby, que los atacantes de la cadena de suministro fueron atrapados recientemente distribuyendo a través del repositorio RubyGems.

La campaña maliciosa aprovechó la técnica de typosquattingdonde los atacantes cargaron paquetes legítimos mal escritos intencionalmente con la esperanza de que los desarrolladores involuntarios escriban mal el nombre e instalen involuntariamente la biblioteca maliciosa.

ReversingLabs dijo que los paquetes tipográficos en cuestión fueron subidos a RubyGems entre el 16 y el 25 de febrero, y que la mayoría de ellos han sido diseñados para robar fondos en secreto al redirigir las transacciones de criptomonedas a una dirección de billetera bajo el control del atacante.

En otras palabras, este ataque particular de la cadena de suministro apuntó a los desarrolladores de Ruby con sistemas Windows que también utilizaron las máquinas para realizar transacciones de Bitcoin.

Después de que los hallazgos fueron revelados en privado a los mantenedores de RubyGems, se eliminaron las gemas maliciosas y las cuentas de los atacantes asociados, casi dos días después, el 27 de febrero.

"Al estar estrechamente integrados con los lenguajes de programación, los repositorios facilitan el consumo y la administración de componentes de terceros", dijo la firma de ciberseguridad .

"Consecuentemente, incluir otra dependencia del proyecto se ha vuelto tan fácil como hacer clic en un botón o ejecutar un comando simple en el entorno del desarrollador. Pero solo hacer clic en un botón o ejecutar un comando simple a veces puede ser algo peligroso, ya que los actores de amenazas también comparten un interés en esta conveniencia al comprometer las cuentas de los desarrolladores o sus entornos de compilación, y al tipear los nombres de los paquetes ", agregó.

Typosquatting Ruby Gems para robar criptomonedas

Typosquatting es una forma de ataque de brandjacking que generalmente depende de que los usuarios se pongan en peligro al escribir mal una dirección web o un nombre de biblioteca que se hace pasar por paquetes populares en los registros de software.

RubyGems es un administrador de paquetes popular que facilita a los desarrolladores la distribución, administración e instalación de programas y bibliotecas de Ruby.



Utilizando una lista de gemas populares como línea de base para su investigación, los investigadores monitorearon nuevas gemas que se publicaron en el repositorio y marcaron cualquier biblioteca que tuviera un nombre similar de la lista de línea de base.

Lo que encontraron fueron varios paquetes, como "atlas-client" que se hacía pasar por la gema "atlas_client", que contenían ejecutables portátiles (PE) que se hacían pasar por un archivo de imagen aparentemente inofensivo ("aaa.png").

Durante la instalación, el archivo de imagen se renombra de 'aaa.png' a 'a.exe' y se ejecuta, que contiene un VBScript codificado en Base64 que ayuda al malware a ganar persistencia en el sistema infectado y ejecutarse cada vez que se inicia o reinicia.

Además de esto, el VBScript no solo captura los datos del portapapeles de la víctima continuamente, sino que si encuentra que el contenido del portapapeles coincide con el formato de una dirección de billetera de criptomonedas, reemplaza la dirección con una alternativa controlada por el atacante (" 1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc ").

"Con esto, el actor de la amenaza está tratando de redirigir todas las posibles transacciones de criptomonedas a su dirección de billetera", dijeron los investigadores de ReversingLabs.



Aunque no se realizaron transacciones en esta billetera, todas las gemas maliciosas se remontaron a dos titulares de cuentas, "JimCarrey" y "PeterGibbons", con "atlas-client" registrando 2,100 descargas, aproximadamente el 30% del total de descargas acumuladas por los legítimos joya "atlas_client".

Typosquatting en paquetes de software en aumento

Esta no es la primera vez que se descubren ataques de tipo typosquatting de este tipo.

Las plataformas de repositorio populares como Python Package Index (PyPi) y el administrador de paquetes Node.js propiedad de GitHub npm se han convertido en vectores de ataque  efectivos para distribuir malware. Dada la falta de escrutinio involucrado durante el envío, la revisión y la aprobación del paquete, ha sido fácil para los autores de malware publicar bibliotecas trojanizadas con nombres muy cercanos a los paquetes existentes. Se recomienda encarecidamente que los desarrolladores que hayan descargado involuntariamente las bibliotecas en sus proyectos verifiquen si han usado los nombres de paquete correctos y no usaron accidentalmente las versiones mal escritas.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta