Los atacantes apuntan a la cadena de suministro de software package con el paquete …



Los atacantes siembran el repositorio Ruby Gems con más de 760 paquetes maliciosos que usan nombres un poco diferentes a las bibliotecas de códigos estándar.

Los desarrolladores que cometen un uncomplicated error de mecanografía podrían encontrar sus sistemas comprometidos por malware en el último ataque a la cadena de suministro de software package, dicen los investigadores de ReversingLabs, un proveedor de plataforma de análisis de application.

Los investigadores analizaron el repositorio de paquetes para el lenguaje Ruby en busca de paquetes de código, conocidos como Ruby Gems, enviados al repositorio con nombres similares a los paquetes de línea de base existentes. Descubrieron que más de 760 gemas maliciosas con nombres similares a paquetes legítimos habían contaminado el repositorio de Ruby Gems.

El ataque es comparable al mistake tipográfico que la compañía encontró en Python y los repositorios de Node Bundle Supervisor, dice Robert Perica, ingeniero principal y analista de amenazas en ReversingLabs.

«Al igual que otros desarrolladores, cuando un desarrollador escribe mal un nombre e intenta descargar un paquete que no existe, esperan un mistake que les indica que el paquete no está disponible», dice. «Pero los actores maliciosos se están aprovechando de los errores tipográficos y entregando malware».

El uso de typosquatting para intentar comprometer el software package y los sistemas de los desarrolladores es una continuación de los ataques a la cadena de suministro de software program. En el pasado, los desarrolladores tenían que preocuparse principalmente por mantener actualizados los paquetes que usaban para cerrar cualquier vulnerabilidad en su program.

Sin embargo, en los últimos años, las compañías que rastrean paquetes de computer software de código abierto han notado que los atacantes se han centrado en los componentes que los desarrolladores a menudo usan como foundation para sus aplicaciones. En 2018, por ejemplo, un paquete JavaScript common en el repositorio Node Bundle Supervisor (NPM) conocido como secuencia de eventos se vio comprometido con el código de robo de Bitcoin y permaneció sin ser detectado durante más de dos meses.

«El presunto atacante … supuestamente se ofreció a ayudar a mantener la biblioteca», dijo Danny Grander, cofundador y líder de seguridad de la firma de seguridad de application Snyk, en un análisis del incidente. «Dado que agregar bibliotecas es una práctica común, es fácil ver cómo la nueva biblioteca no se revisó con demasiado cuidado. Además, la biblioteca parece haber realizado la funcionalidad prometida».

Sin embargo, comprometer un proyecto de código abierto existente es una estafa larga que lleva tiempo. Typosquatting es mucho más fácil y no requiere tantos recursos. El ataque común generalmente se enfoca en crear archivos o nombres de dominio que sean similares a tiempos de ejecución o destinos comunes, respectivamente, en un intento de detectar errores tipográficos poco frecuentes. La estrategia generalmente vale la pena cuando hay un gran volumen de solicitudes involucradas, y cometer un error porcentual bajo todavía equivale a un número razonable de víctimas potenciales.

A principios de la década de 2000, por ejemplo, los registradores de dominios comenzó a redirigir dominios mal escritos a sus propias páginas de destino – un movimiento al que muchos defensores de la privacidad, proveedores de servicios de Net y fabricantes de navegadores hicieron excepciones. En 2008, Oliver Friedrichs, entonces investigador de Symantec, advirtió que el error tipográfico podría usarse para capturar correos electrónicos confidenciales. Como experimento, registró 124 dominios que tenían una ortografía cercana a los candidatos presidenciales de Estados Unidos y encontró Se enviaron más de 1.100 intentos de conexión al administrador de correo de esos dominios..

En el último caso, dos cuentas de desarrollador presentaron diferentes versiones mal escritas de RubyGems, como «atlas-customer» en lugar del «atlas_shopper» serious. según el análisis de ReversingLabs. El componente malicioso instalado por el componente falso infecta el sistema del desarrollador con malware persistente para reemplazar cualquier dirección de billetera de Bitcoin en el portapapeles con la dirección de billetera del atacante, dice Perica.

Si bien es más well-known hace más de una década, Ruby sigue siendo un lenguaje de programación relevante para los desarrolladores world wide web de again-finish porque impulsa el marco de aplicación de Ruby on Rails. El lenguaje ocupó el puesto número 8 de todos los lenguajes de programación en mayo de 2016, pero tiene desde que cayó al número 13, de acuerdo con la clasificación mantenida por TIOBE, una empresa de calidad de application. El sitio de conocimiento para desarrolladores StackOverflow coloca el idioma en el número 12 con alrededor del 8% de todos los desarrolladores que usan Ruby.

El ataque contra el repositorio de Ruby Gems fue bastante fácil de detectar porque el atacante usó archivos ejecutables portátiles, que normalmente no forman parte de Ruby Gem, y nombres obvios, como «aaaa.png», para los componentes del archivo. Un atacante más astuto podría hacer que el malware sea más difícil de detectar, dice Perica.

«Todo depende del nivel de precaución que tengan los desarrolladores al tratar con los marcos de administración de paquetes», dice. «Tenemos que practicar la debida diligencia como desarrolladores y esperar que ocurran errores».

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Darkish Looking through para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Ciberseguridad Hogar-Escuela: El Proyecto Robotic».

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Reading, MIT&#39s Technology Critique, Well-liked Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más ideas





Enlace a la noticia initial