Хакер #305. Многошаговые SQL-инъекции
Эксперты компании Sonatype обнаружили в официальном репозитории RubyGems вредоносные пакеты pretty_color и ruby-bitcoin. В настоящее время вредоносы уже удалены с платформы.
Спрятанная в упомянутых пакетах малварь была нацелена на Windows-машины и подменяла адреса любых криптовалютных кошельков в буфере обмена на адрес кошелька злоумышленников. В сущности, малварь помогала хакерам перехватывать транзакции и воровать чужую криптовалюту.
Исследователи пишут, что pretty_color содержал легитимные файлы colorize, известного и надежного опенсорсного компонента, что затрудняло обнаружение угрозы.
«Фактически, pretty_color является идентичной копией пакета colorize и содержит весь его код, включая полный файл README», — гласит отчет экспертов.
Также в пакет входил файл с именем version.rb, якобы содержавший метаданные версии, но на самом деле содержавший обфусцированный код, предназначенный для запуска вредоносного скрипта на компьютерах под управлением Windows.
В коде также была замечено язвительное упоминание аналитика угроз ReversingLabs Томислава Малича (Tomislav Maljic), который весной 2020 года выявил более 700 вредоносных библиотек RubyGems, предназначенных для майнинга биткоинов на зараженных машинах. Все обнаруженные тогда вредоносны были клонами различных легитимных библиотек. Они использовали технику typosquatting, то есть имели нарочито похожие на оригиналы имена, и даже работали, но также содержали дополнительные вредоносные файлы.
По словам исследователей Sonatype, пакет ruby-bitcoin и вовсе включает в себя только вредоносный код, (такой же, как в файле version.rb из pretty_color).
Интересно, что текстовый вариант вредоносного скрипта, использованного в этих атаках, был обнаружен экспертами на GitHub, под несвязанной учетной записью, причем так он называется wannacry.vbs, хотя никакой связи с малварью WannaCry здесь определенно нет.
«Подмена адресов биткоин-кошельков в буфере обмена кажется больше похожей на банальное озорство со стороны злоумышленника-любителя, чем на сложную вымогательскую операцию», —резюмируют аналитики Sonatype.