Programisto, uważaj na swoje kryptowaluty! Setki zainfekowanych bibliotek Ruby

Maciej Olanicki, 20.04.2020 r.

Na łamach naszego bloga kilkukrotnie opisywaliśmy już próby infekowania stacji roboczych malware wstrzykniętym w pakiety podające się za biblioteki programistyczne. Ostatnia ujawniona kampania tego typu zakrojona na szeroką skalę miała miejsce w grudniu, kiedy to do PyPI trafiły pliki z nazwami niemal identycznymi do popularnych paczek, np. jellyfish. Phishing homograficzny mógł wówczas skutkować kradzieżą kluczy SSH i GPG z maszyny ofiary.

Programiści na celowniku

Nie możemy tu co prawda mówić stricte o przejęciu łańcucha dostaw – szkodliwe paczki jedynie naśladowały prawdziwe, zaś atakujący nie włamali się na konta autorów i nie umieścili w ich w plikach swojego kodu. Z drugiej strony w dobie centralizacji metod dystrybucji oprogramowania to właśnie sklepy i repozytoria stanowią łańcuch dostaw i zaufane źródło. Wszak ich administratorzy dają wysokie gwarancje bezpieczeństwa, co ma stanowić zachętę do korzystania.

Niestety, jak poinformowali analitycy ReversingLabs, programiści znów zostali wzięci na cel. Tym razem chodzi o deweloperów pracujących z Ruby. W repozytorium menedżera pakietów RubyGems pomiędzy 16 i 25 lutego zostało udostępnionych 725 bibliotek zawierających szkodliwe oprogramowanie. Publikacji dokonano za pośrednictwem tylko dwóch kont, zaś każda z bibliotek nosiła nazwę naśladującą prawdziwe popularne w RubyGems zasoby.

Tym razem malware w RubyGems

Nie tylko nazwy paczek naśladowały faktycznie biblioteki Ruby, lecz także ich zawartość. Różnicę każdorazowo stanowił dodatkowy plik przedstawiający się jako obrazek PNG, lecz będący tak naprawdę plikiem wykonywalnym Windows PE zawierającym interpreter Ruby i niezbędne zależności. Skrypt pobierał po instalacji biblioteki kolejny skrypt Visual Basic, który dodawał wpis następnego skryptu autostartu do windowsowego rejestru.

Ten kolejny skrypt, startujący każdorazowo z maszyną, przechwytywał wszystkie dane, jakie trafiały do systemowego schowka. Na tym jednak nie koniec – program szukał ciągów przypominających… adresy portfeli kryptowalutowych, a jakże. Gdy już je znalazł, to wówczas – w schowku – adres ten był podmieniany na adres portfela atakującego. W ten sposób ofiara, kopiując dane do przekazu mogła całkowicie nieświadomie wysłać je do zupełnie kogoś innego i nawet tego nie zauważyć.

Powodem popularność kryptowalut?

Można sobie zadawać pytanie, dlaczego akurat wszelkiej maści repozytoria są w ostatnim czasie tak chętnie atakowane. Odpowiedź stanowi poniekąd mechanizm działania drugiego skrypty, nakierowany stricte na kradzież kryptowalut. Najwidoczniej w przekonaniu napastników grupą, która szczególnie często dysponuje tego typu środkami, są właśnie programiści i eksperci IT. W rezultacie należy oczekiwać, że podobne przypadki będą się w przyszłości powtarzać.