Más de 700 bibliotecas maliciosas detectadas en el repositorio RubyGems


Investigadores de seguridad de la información en ReversingLabs informaron sobre el descubrimiento de 725 bibliotecas maliciosas que robaron el contenido del portapapeles en el repositorio oficial de RubyGems. Una lista completa de bibliotecas se puede ver aquí .
Los paquetes maliciosos se cargaron en RubyGems del 16 al 25 de febrero de 2020 desde dos cuentas: JimCarrey y PeterGibbons. Los investigadores escriben que el malware se eliminó de RubyGems el 27 de febrero, dos días después de que ReversingLabs notificara a los desarrolladores de su hallazgo.
Todos los malware detectados eran clones de varias bibliotecas legítimas. Utilizaron la técnica de typosquatting, es decir, tenían nombres deliberadamente similares a los originales, e incluso funcionaban según lo previsto, pero también contenían archivos maliciosos adicionales.
Un archivo adicional integrado en cada uno de estos paquetes se llamaba aaa.png. A pesar de la extensión, este archivo no era una imagen PNG. De hecho, era un ejecutable de Windows PE. La instalación de cualquiera de las bibliotecas maliciosas provocó una cadena de las siguientes acciones:
  • El archivo PE creó un script Ruby llamado aaa.rb que contiene el intérprete Ruby y todas las dependencias necesarias para ejecutar;
  • este script creó un script de Visual Basic llamado oh.vbs;
  • el script creó una clave para la ejecución automática en el registro;
  • la tecla de inicio ejecutó el segundo script de Visual Basic cada vez que la computadora se inició o reinició;
  • el segundo script interceptó los datos enviados al portapapeles y buscó entre ellos plantillas similares a las direcciones de las billeteras de criptomonedas, y las reemplazó con la billetera de un atacante.
ReversingLabs escribe que miles de usuarios han descargado estas bibliotecas. Sin embargo, a juzgar por la dirección de Bitcoin del  atacante, durante toda la actividad de la campaña no pudo interceptar ningún pago, cambiando la dirección a la suya.
Los investigadores creen que detrás de este ataque está la misma persona o grupo que cargó bibliotecas maliciosas en RubyGems anteriormente, en  2018  y  2019 . Ambos incidentes se distinguieron por el uso de métodos similares, y el objetivo también era robar la criptomoneda de los usuarios.

No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios