Поделиться
60 вредоносных библиотек Ruby скачаys 275 тыс. раз. Они охотятся на реквизиты доступа
В репозитории RubyGems выявлены более полусотни вредоносных библиотек, загруженных в результате явно скоординированной кампании. Под атакой - пользователи спамерских инструментов для социальных сетей.
И снова здравствуйте
60 вредоносных библиотек под язык Ruby за последние два года набрали более 275 тыс. скачиваний, сообщает компания Socket. Вредоносы были опубликованы на платформе RubyGems.org, где располагается официальный менеджер пакетов для Ruby (аналогичный npm для JavaScript и PyPI для Python).
Как выяснили специалисты Socket, злоумышленники целились в основном в корейских разработчиков средств автоматизации для таких платформ как Instagram*, TikTok, Twitter/X, Telegram, Naver, WordPress и Kakao.
Вредоносные библиотеки - или «самоцветы» (Gems) по номенклатуре RubyGems, подгружались постепенно, с разных аккаунтов, на протяжении нескольких лет. Пока удалось идентифицировать лишь несколько аккаунтов, с которых осуществлялась публикация вредоносов, - zon, nowon, kwonsoonje и soonje. Во многих случаях они использовали наименования, лишь незначительно отличавшиеся от популярных легитимных библиотек.
В отчете Socket указывается, что все 60 вредоносных библиотек были снабжены графическим пользовательским интерфейсом, который предлагает ввести логин и пароль. Что интересно, библиотеки действительно обеспечивали заявленную функциональность, однако логины и пароли, а также MAC-адреса и название текущего вредоносного пакета.
В исследовании Socket указывается, что данные перенаправлялись на командные серверы с фиксированными адресами programzon.com, appspace.kr и marketingduo.co.kr.
Иногда пострадавший пользователь получал извещение об успешном (или неудачном) вводе логина и пароля, однако к реальным сервисам эти вредоносные библиотеки не обращаются.
На всех этих адресах (а также на seven1.iwinv.net) рекламируются маркетинговые инструменты для автоматизации, которые в Socket назвали весьма сомнительными, поскольку они, судя по всему, предназначены для имитации массового взаимодействия пользователей с рекламируемыми ресурсами. В них так или иначе дублируются названия, встречающиеся во вредоносных библиотеках.
По мнению экспертов Socket, кампания нацелена именно на пользователей «серых» маркетинговых сервисов (по существу спамерских). Атака на «цепочку» поставок - судя по количеству скачиваний, весьма успешная, - угрожает еще большему количеству пользователей, поскольку пока неизвестно, сколько скомпрометированных приложений и сервисов находятся сейчас в ротации.
Не Кореей единой
Что характерно, специалисты Socket обнаружили артефакты этой кампании на русскоязычном форуме в даркнете, - почему-то именно туда оказались слитыми добытые хакерами реквизиты.
Обращает на себя внимание и тот факт, что в качестве хакерского инструмента обозначен популярный инфостилер Lumma.
Все обстоятельства и особенности кампании, однако, указывают на то, что она нацелена исключительно на носителей корейского языка.
«Реквизиты доступа - это ходовой товар, который может представлять интерес для киберкриминала любого рода и вне контекста какой-либо конкретной кампании», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Региональные ограничения тоже не играют большой роли, для проведения успешных атак не обязательно владеть корейским языком в совершенстве».
Эксперт добавила, что последние исследования Socket указывают на статичную природу проблемы с цепочками поставок: внимания к ним все больше с обеих сторон баррикад, но решение возможно только при полной переработке парадигмы открытых репозиториев.
«На данный момент единственный способ застраховаться - это вдумчивый аудит стороннего кода до его интеграции в свою разработку», - отметила Мельникова.
К настоящему моменту большая часть вредоносных библиотек удалена, но, по-видимому, самим автором. Полтора десятка остаются доступными.
*Instagram (принадлежит организации Meta, которая признана экстремистской на территории России).
Поделиться
Короткая ссылка
