Un malware pour presse-papiers dans 725 bibliothèques Ruby

Spread the love
  • Yum

Un malware pour presse-papiers dans 725 bibliothèques Ruby

Les chercheurs en sécurité des ReversingLabs affirment avoir découvert 725 bibliothèques Ruby téléchargées sur le dépôt officiel de RubyGems qui contenaient des logiciels malveillants destinés à détourner le presse-papiers des utilisateurs.

Les paquets malveillants ont été téléchargés sur RubyGems entre le 16 et le 25 février par deux comptes : JimCarrey et PeterGibbons. Les 725 bibliothèques, qui sont listées ici en entier, ont été supprimées deux jours plus tard, le 27 février, après que l’équipe des ReversingLabs ait informé l’équipe de sécurité de RubyGems.

Toutes les bibliothèques Ruby étaient des copies de bibliothèques légitimes, utilisaient des noms similaires, fonctionnaient comme prévu, mais contenaient également des fichiers malveillants supplémentaires.

publicité

Le fichier supplémentaire inséré dans chaque paquet a été nommé aaa.png. Cependant, ReversingLabs affirment que ce fichier n’était pas une image PNG, mais un exécutable Windows PE.

L’installation de chacune des bibliothèques malveillantes a déclenchait une chaîne d’infection qui ressemblait à ceci :

  • Le fichier PE dépose un script Ruby appelé aaa.rb contenant l’interpréteur Ruby et toutes les dépendances nécessaires à son exécution.
  • Le script Ruby dépose ensuite un script Visual Basic appelé oh.vbs
  • Ce script met ensuite en place une clé de registre autorun
  • La clé d’exécution automatique exécute ensuite un deuxième script Visual Basic à chaque fois qu’un ordinateur redémarre
  • Ce deuxième script permettait de capturer les données envoyées dans le presse-papiers, de rechercher des modèles de texte ressemblant à des adresses de cryptomonnaie et de remplacer le texte par l’adresse de l’attaquant.

Selon ReversingLabs, les bibliothèques ont été téléchargées par des milliers d’utilisateurs. Cependant, d’après une adresse Bitcoin partagée par les chercheurs dans leur rapport, il semble que les attaquants n’aient pas été en mesure de détourner des paiements lors de leur attaque.

Les chercheurs pensent que cette attaque a été menée par la même personne/le même groupe qui a téléchargé des bibliothèques contenant des logiciels malveillants sur le dépôt de paquets RubyGems en 2018 et 2019 – deux incidents utilisant des techniques similaires et visant également à voler l’argent des utilisateurs de cryptomonnaies.

C’est également la deuxième fois que ReversingLabs trouve des bibliothèques malveillantes téléchargées dans un dépôt de paquets. En juillet 2019, la société a également trouvé trois bibliothèques Python malveillantes téléchargées sur le portail PyPI.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *