RubyGems disklerinde yeniden kötü amaçlı yazılım bulundu. Sonatip uzmanları, resmi RubyGems deposundaki pretty_color ve ruby-bitcoin kötü amaçlı paketlerini keşfettiler. Kötü amaçlı yazılım kısa sürede platformdan kaldırıldı.
Bahsedilen paketlerde gizlenen kötü amaçlı yazılım, Windows makinelerini hedef aldı ve panodaki herhangi bir kripto para birimi cüzdanının adresini saldırganların cüzdan adresiyle değiştirdi. Temelde kötü amaçlı yazılım, bilgisayar korsanlarının işlemleri durdurmasına ve başka birinin kripto para birimini çalmasına yardımcı oldu.
RubyGems disklerinde yeniden kötü amaçlı yazılım bulundu
Araştırmacılar, pretty_color’un bilinen ve güvenilir bir açık kaynaklı bileşen olan renklendirme için meşru dosyalar içerdiğini ve tehdidi tespit etmeyi zorlaştırdığını yazıyor.
“Aslında, pretty_color, renklendirme paketinin özdeş bir kopyasıdır ve tüm README dosyası da dahil olmak üzere tüm kodunu içerir.”
Paket ayrıca, sürüm meta verilerini içerdiği, ancak aslında Windows bilgisayarlarda kötü amaçlı bir komut dosyası çalıştırmak için tasarlanmış karmaşık bir kod içeren version.rb adlı bir dosya da içeriyordu.
Kod ayrıca, 2020 baharında virüslü makinelerde bitcoin madenciliği yapmak için tasarlanmış. 700’den fazla kötü niyetli RubyGems kitaplığı belirleyen ReversingLabs tehdit analisti Tomislav Maljic’e alaycı bir gönderme yaptı. O sırada tespit edilen tüm kötü amaçlı yazılımlar, çeşitli yasal kitaplıkların klonlarıydı. Typosquatting tekniğini kullandılar. Yani kasıtlı olarak orijinallere benzer isimleri vardı ve hatta çalıştılarda. Ancak aynı zamanda ek kötü amaçlı dosyalar da içeriyorlardı.
Sonatype araştırmacılarına göre, ruby-bitcoin paketi yalnızca kötü amaçlı kod içeriyor (pretty_color’daki version.rb dosyasında olduğu gibi).
İlginç bir şekilde, bu saldırılarda kullanılan kötü amaçlı komut dosyasının metin sürümü, WannaCry kötü amaçlı yazılımıyla kesinlikle bir bağlantısı olmamasına rağmen, wannacry.vbs adlı ilgisiz bir hesap altında GitHub’daki uzmanlar tarafından keşfedildi.
Sonatype analistleri, “Panodaki bitcoin cüzdan adreslerini aldatmak, amatör bir saldırgan için karmaşık bir gasp operasyonundan çok önemsiz bir yaramazlık gibi görünüyor” sonucuna varıyor.
