RubyGems是Ruby编程语言的第三方组件库，无极4开户链接目前已经有超过700个恶意包被上传到这个库中，它们的名称与合法的类似。研究人员报告说，上传过程在2月份的一个星期内完成。这些恶意包包含一个恶意脚本，当在Windows电脑上执行时，它通过用攻击者控制的钱包地址替换收件人的钱包地址来劫持加密货币交易。

 

近年来，通过第三方组件和库进行的供应链攻击已经影响了几个开源组件库的用户，包括分别由JavaScript和Python开发人员使用的NPM和PyPi。在最近针对RubyGems的攻击中使用的一种技术是typosquatting:发布的包的名称类似于现有的包，但是开发人员在手动输入包名称时可能会使用常见的拼写错误—例如rspec-mokcs而不是rspec-mocks。

 

软件存储库几乎没有保护措施

 

威胁情报公司inglabs的联合创始人兼首席软件架构师Tomislav Pericin告诉CSO:“对于软件开发者来说，几乎没有什么保护措施能确保他们从这些软件库中安装的软件包是无恶意软件的。”专门从事恶意软件检测的软件安全供应商通常不会与开发环境集成。目前，恶意软件检测任务外包给终端保护解决方案，而这些解决方案又主要针对针对终端用户的不同种类的恶意软件。市场上存在一个巨大的缺口，恶意软件作者正在利用这个缺口。”

 

尽管在这种情况下，攻击者对盗取加密货币很感兴趣，但他们使用的剪贴板劫持脚本很容易被设计成窃取受害者复制并粘贴到他们计算机上的任何登录凭证。由于这些攻击针对的是能够访问各种内部开发和软件构建环境的开发人员，因此其影响可能非常严重，并可能导致针对他们所生产的软件用户的进一步供应链攻击。

 

RubyGems的攻击是如何进行的

 

现代应用程序只有一小部分原始代码。他们的大多数代码库都来自其他人开发的可重用组件，并发布在NPM、PyPi、RubyGems等存储库中。虽然这简化并加速了软件开发，但它引入了与代码完整性和安全性相关的安全问题，无极4开户体验而行业还没有完全解决这些问题。

 

用Ruby编程语言编写的组件称为gems，本质上是具有特定目录结构的TAR归档。它们包括一个清单文件、二进制文件、库和测试。一个有趣的特性是，它们可以以可执行代码的形式包含扩展，在这种情况下，攻击者选择滥用这个功能。

 

由reveringlabs识别的恶意gems来自两个账户，包含一个名为aaa.png的扩展名，位于目录路径/ext/trellislike/ un/ waffling/下。虽然文件伪装成一个PNG图像，这只是一个转移，因为它实际上是一个Windows可移植的可执行文件(PE)。这次攻击针对的是使用Windows作为开发环境的Ruby开发人员。

 

包中包含的Makefile指示Ruby安装程序在安装期间将aaa.png重命名为aaa.exe并执行它，这是一个在没有用户交互的情况下发生的操作。exe实际上是一个用Ruby2Exe创建的Ruby程序，它部署了一个模糊的Visual Basic脚本(VBS)——VBScript是一种在Windows系统上本地支持的脚本语言。

 

VBS文件被保存为软件必需品。程序数据目录中的vbs，并设置为在每次系统重新启动后自动启动。该脚本被设计成在一个循环中运行，监控电脑的剪贴板，寻找与比特币钱包地址匹配的字符串模式，并动态地用属于攻击者的钱包地址替换这些字符串。

 

这意味着，当受害者试图进行比特币交易并复制收件人的钱包地址(例如，从一个网站)时，粘贴的地址始终是攻击者的地址。剪贴板劫持以前曾被用于加密货币用户，但在这种情况下，它不是很成功，流氓钱包地址没有收到任何交易。

 

这并不是因为感染方法本身没有效果。这次攻击是有限的，因为它恰巧与运行RubyGems分析和攻击者的目标文件——使用Windows系统和执行比特币交易的Ruby开发者——的逆转实验室同时发生。