Especialistas da Sonatype descobriram os pacotes maliciosos pretty_color e ruby-bitcoin no repositório oficial RubyGems. O malware já foi removido da plataforma.
O malware oculto nos pacotes mencionados tinha como alvo máquinas Windows e substituiu os endereços de quaisquer carteiras de criptomoedas na área de transferência pelos invasores.’ endereço da carteira. Em essência, o malware ajudou hackers a interceptar transações e roubar a criptomoeda de outra pessoa.
Os pesquisadores escrevem que pretty_color continha arquivos legítimos para colorir, um componente de código aberto bem conhecido e confiável, dificultando a detecção da ameaça.
O pacote também incluiu um arquivo chamado version.rb, que supostamente continha metadados de versão, mas na verdade continha código ofuscado projetado para executar um script malicioso em computadores Windows.
No código também foi notada uma referência sarcástica ao analista de ameaças ReversingLabs Tomislav Maljić, quem na primavera de 2020 identificado mais do que 700 bibliotecas RubyGems maliciosas projetado para minerar bitcoins em máquinas infectadas.
Todos os malwares detectados naquela época eram clones de várias bibliotecas legítimas. Eles usaram a técnica typosquatting, aquilo é, eles tinham nomes deliberadamente semelhantes aos originais, e até funcionou, mas também continha arquivos maliciosos adicionais.
De acordo com pesquisadores da Sonatype, o pacote ruby-bitcoin contém apenas código malicioso (o mesmo que no arquivo version.rb de pretty_color).
Interessantemente, a versão em texto do script malicioso usado nesses ataques foi descoberta por especialistas no GitHub em uma conta não relacionada chamada quero chorar.vbs, embora definitivamente não tenha conexão com o malware WannaCry.
No entanto, repositórios de software de código aberto são usados por organizações públicas e privadas para desenvolver aplicativos de missão crítica. E mesmo esses ataques aparentemente insignificantes são motivo de grande preocupação, dada a forma como os ataques desenfreados às cadeias de fornecimento de software têm ocorrido. 2020. Em última análise, SolarWinds foi hackeado devido a um bug de código aberto no GitHub.
