menu

RubyGems LogoDie Malware ersetzt Bitcoin-Adressen, die in die Zwischenablage kopiert werden, durch eine vom Angreifer kontrollierte Adresse.

Die bösartigen Pakete wurden zwischen dem 16. und 25. Februar von zwei Konten auf RubyGems hochgeladen JimCarrey und PeterGibbons.

Sicherheitsforscher von ReversingLabs sagen, dass sie 725 Ruby-Bibliotheken entdeckt haben, die in das offizielle RubyGems-Repository hochgeladen wurden und Malware enthielten, die dazu gedacht war, die Zwischenablagen der Benutzer zu kapern.

Die 725 Bibliotheken, die hier vollständig aufgeführt sind, wurden zwei Tage später, am 27. Februar, entfernt, nachdem das ReversingLabs-Team das RubyGems-Sicherheitsteam benachrichtigt hatte.

Alle Ruby-Bibliotheken waren Kopien von legitimen Bibliotheken und benutzten dabei ähnliche Namen. Sie funktionierten wie beabsichtigt, enthielten aber auch zusätzliche bösartige Dateien.

Die zusätzliche Datei, die in jedes Paket eingefügt wurde, erhielt den Namen aaa.png. Laut ReversingLabs handelte es sich bei dieser Datei jedoch nicht um ein PNG-Image, sondern um eine ausführbare Windows PE-Datei.

Die Installation jeder der bösartigen Bibliotheken löste eine Infektionskette aus, die so aussieht:

  • Die PE-Datei legte ein Ruby-Skript namens aaa.rb ab, das den Ruby-Interpreter und alle erforderlichen Abhängigkeiten zur Ausführung enthielt.
  • Das Ruby-Skript legte dann ein Visual Basic-Skript namens oh.vbs
  • Dieses Skript richtet dann einen Autorun-Registrierungsschlüssel ein
  • Der Autorun-Schlüssel führte dann jedes Mal ein zweites Visual Basic-Skript aus, wenn ein Computer lief/neu gestartet wurde Dieses zweite Skript würde an die Zwischenablage gesendete Daten erfassen, nach Textmustern suchen, die wie Krypto-Währungsadressen aussehen, und dann den Text durch die Adresse des Angreifers ersetzen.

Laut ReversingLabs wurden die Bibliotheken von Tausenden von Benutzern heruntergeladen. Aus einer Bitcoin-Adresse, die von Forschern in ihrem Bericht genannt wird, geht jedoch hervor, dass die Angreifer während ihres jüngsten Angriffs nicht in der Lage waren, Zahlungen zu kapern.

Forscher sagen, sie glauben, dass dieser Angriff von der gleichen Person/Gruppe durchgeführt wurde, die zuvor, 2018 und 2019, Bibliotheken mit Malware im RubyGems-Paket-Repository hochgeladen hat - beide Vorfälle benutzten ähnliche Techniken und zielten auch darauf ab, Geld von Benutzern von Krypto-Währungen zu stehlen.

Für uns Entwickler bedeutet es weiter vorsichtig zu sein, und die Pakete die wir nutzen genau unter die Lupe zu nehmen. Immer wieder versuchen angreifer Schadcode in die Repos einzuschleusen.

Quelle: ZDNet.com