根据安全公司ReversingLabs有关报道,Ruby语言官方模块包代码库RubyGems,被植入了超725个恶意软件包的。
根据安全公司ReversingLabs的分析恶意软件包的下载量接近100000次,尽管其中很大一部分可能是脚本自动抓取了存储库中158000个软件包的结果。恶意软件包来自两个用户帐户:" PeterGibbons" 和 "JimCarrey"。
ReversingLabs怀疑这些帐户可能是一个人的工作,他使用了多种形式的监听行为,冒充正常软件包。例如,"atlas-client"是一个诱骗的诱饵程序包,被2100次下载,用来模仿的"atlas_client"。从2月16日到25日,这两账号共上传了700多个软件包。
攻击流程
根据ReversingLabs分析,这些恶意软件安装后将执行一个脚本,该脚本会拦截在Windows设备上进行的比特币付款。
首先,它使用"%PROGRAMDATA%\Microsoft Essentials\Software Essentials.vbs"路径中的主要恶意循环创建一个新的VBScript Sle。然后持久化到本机,然后创建一个新的自动运行注册表项。
- "HCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Software Essentials"
实现重启后的自动运行。
执行"Software Essentials.vbs"恶意脚本时,会启动无限循环,在该循环中,它使用以下代码行捕获用户的剪贴板数据:
- Set objHTML = CreateObject("htmlfile")
- text = objHTML.ParentWindow.ClipboardData.GetDat
然后,脚本将检查剪贴板数据是否与加密货币钱包地址的格式匹配。如果是,则使用以下命令在隐藏窗口中将加密币的地址替换为 "1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc":
- WScript.Shell run "C:\Windows\System32\cmd.exe /c echo 1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc | clip", 0
这样,威胁参与者就试图将所有潜在的加密货币交易重定向到其钱包地址。整个过程如下顺序:
历史事件
无独有偶,这次供应链投毒事件不是第一次,这样事件最近几年来屡见不鲜。对RubyGems也发生了多起。2016年,一名大学生将一个粗略脚本上传到RubyGems,PyPi和NPM,根据对脚本中执行的回访调用统计,该冒名脚本大概在17000个独立IP上执行了大概45000次,其代码成功获取管理权限的有一半。其中还有两个是以.mil结尾的域,表明美军内部的主机也被感染。
此后,类似技术开始流行。2018年,黑客给PyPi中注入了剪贴板劫持脚本。该恶意程序包的名称为"Colourama",名字模仿Colorama。Colorama为Python包仓库中下载量Top 20之一。包括从镜像站点的下载,恶意软件包被下载了171次。
一个月后,有一次攻击者利用NPM植入后门,成功偷到比特币的事件。这次事件中,恶意后门被下载了200万次下,从而使攻击者获得了最后的成功成就。
这些事件表明,针对软件供应链的污染投毒间接攻击已经成了一种常态,这类攻击可能没有直接攻击那样明显,但是针对该类攻击目前还没有有效的防护措施,只能让开发人员擦亮眼睛,对要下载的软件包一定要慎重,可以通过必要的校验方法来保证包合法,比如验证文件包哈希,同时关注安全通报以便出现问题时能及时处理。企业可以通过DevSecOps来保证整个供应链的安全。