名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開

2020年4月20日 08:52

印刷

記事提供元:スラド

人気のRubyGemパッケージに似たパッケージ名を付け、タイプミスを狙ってダウンロードさせようとする悪質なRubyGemパッケージが短期間に多数公開され、多数ダウンロードされていたそうだ(ReversingLabs Blogの記事Ars Technicaの記事)。

有名ドメイン名やパッケージ名のタイプミスを狙う攻撃は「タイポスクワッティング」などと呼ばれる。2017年にはこの手法を使用した悪質なパッケージがPyPIで発見されたことがスラドでも話題になった。調査を行ったReversingLabsもこの手法を使用する悪質なパッケージをPyPINPMで発見しているという。

タイポスクワッティングに絞って行われた今回の調査では、人気のRubyGemパッケージのリストを作り、名前の似たパッケージのアップロードを2月16日から25日まで監視。その結果、700以上の悪質なパッケージが2つのアカウントからアップロードされたそうだ。悪質なパッケージのダウンロード数は2アカウント合計で10万件近くに上り、たとえば悪質なパッケージ「atlas-client」は本物の「atlas_client」のダウンロード数の3分の1近くダウンロードされていたとのこと。

悪質なパッケージはいずれもWindowsユーザーをターゲットにしたものとみられ、インストールすると最終的にVBScriptがループで常駐してクリップボードを監視する。クリップボードで暗号通貨ワレットアドレスに一致する形式の文字列が検出されると、攻撃者の支配下にあるアドレスに置き換える処理が行われるとのことだ。

 スラドのコメントを読む | セキュリティセクション | Ruby | セキュリティ | デベロッパー | お金

 関連ストーリー:
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 2019年08月25日
Google Playから削除された人気アプリの偽物、Google Playに登場 2019年07月10日
Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 2019年06月28日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事