newsroom 4/19 posted
• 구체적으로 살펴보면, 이 라이브러리는 합법적인 라이브러리의 복사본이며 악성 파일을 추가하여 수정되었습니다.
• 결론적으로,이 모든 악성 라이브러리는 ReversingLabs가 사건을 RubyGems 보안 팀에 보고한 후 2 일 27 일에 제거되었습니다.
• "프로그래밍 언어와 긴밀하게 통합되어 있기 때문에 저장소는 타사 구성 요소의 사용과 관리를 용이하게합니다" 사이버 보안 회사는 밝혔습니다.
• 그러나 버튼을 클릭하거나 간단한 명령을 실행하는 것만으로도 위험 할 수 있습니다. 개발자 계정 및 빌드 환경을 저해하거나, 패키지 이름을 오타하거나하여 위협자도 이 편의에 관심을 보이고 있기 때문이다 "고 덧붙였습니다.
• 다시 말해,이 특정 공급망 공격은 루비 개발자들에게 이 시스템을 사용하여 비트 코인 거래를 했던 Windows 시스템을 대상으로했습니다.
• 먼저“% PROGRAMDATA % \ Microsoft Essentials \ Software Essentials에 주요 악성 루프가 포함된 새 VBScript 파일을 만듭니다.
• 이 유형의 공격을 사용하면 위협 행위자는 의도하지 않은 사용자가 이름을 잘못 입력하고 의도하지 않게 악성 패키지를 설치하기 위해 악의적인 패키지 이름을 의도적으로 인기있는 패키지 (예 : rspec-mock 대신 rspec-mokcs)와 비슷하게 지정합니다.
• 그림 3과 4에 나타낸 바와 같이, 이 악성 gem은 2,100 다운로드이 있고 RubyGems 보안 팀에보고 한 시점에서 정당한 gem "atlas_client"이 가지고 있던 총 다운로드 30 % 가까이었습니다.
• 이러한 유형의 "스프레이 앤 프레이" 공급망 공격에 성공하기에 가장 적합한 후보는 Ruby 개발자이며, 선택한 환경은 Windows 시스템으로 BitCoin 거래를 하는 데 정기적으로 사용됩니다.
• ReversingLabs 연구원은“이를 통해 위협 행위자는 모든 잠재적인 암호 화폐 거래를 지갑 주소로 리디렉션하려고합니다.


Mining for malicious Ruby gems [blog.reversinglabs.com]


Login to comment

goodhyun (4/22)

typosquatting ...

Open Wiki - Feel free to edit it. -
4/19 answered



permanent link

Login to comment

Open Wiki - Feel free to edit it. -
4/19 answered



permanent link

Login to comment