Дослідники безпеки з ReversingLabs знайшли в репозиторії RubyGems 725 бібліотек зі шкідливими файлами. Повний перелік бібліотек можна подивитись тут.
Їх завантажували на RubyGems протягом 16–25 лютого з двох облікових записів: JimCarrey і PeterGibbons. Через два дні, 27 лютого, дослідники безпеки все видалили. Усе це були копії справжніх бібліотек, вони мали схожі назви, виконували свої функції, але також містили шкідливі файли.
Ці додаткові файли називались aaa.png — але насправді вони мали формат Windows PE. Після завантаження бібліотеки спрацьовувала приблизно така схема:
- PE-файл запускає скрипт Ruby з назвою
aaa.rb, у ньому є Ruby-інтерпретатор і всі залежності, потрібні для запуску; - цей скрипт створює скрипт Visual Basic з назвою
oh.vbs; - скрипт налаштовує в реєстрі ключ для автозапуску;
- ключ автозапуску виконує другий скрипт Visual Basic щоразу, коли комп'ютер вмикається;
- другий скрипт перехоплює дані, надіслані в буфер обміну, та шукає шаблони, схожі на адреси гаманців криптовалюти, а потім замінює їх на адресу зловмисника.
Бібліотеки завантажили тисячі разів, однак зловмисникам так і не вдалось перехопити чиїсь платежі. Дослідники вважають, що автори цієї атаки публікували шкідливі бібліотеки в RubyGems і раніше — у 2018 та 2019 роках. Тоді теж йшлося про викрадення криптовалюти за подібною схемою.
Ще немає коментарів