パスワードを忘れた? アカウント作成
14164980 story
Ruby

名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 35

ストーリー by headless
偽物 部門より
人気のRubyGemパッケージに似たパッケージ名を付け、タイプミスを狙ってダウンロードさせようとする悪質なRubyGemパッケージが短期間に多数公開され、多数ダウンロードされていたそうだ(ReversingLabs Blogの記事Ars Technicaの記事)。

有名ドメイン名やパッケージ名のタイプミスを狙う攻撃は「タイポスクワッティング」などと呼ばれる。2017年にはこの手法を使用した悪質なパッケージがPyPIで発見されたことがスラドでも話題になった。調査を行ったReversingLabsもこの手法を使用する悪質なパッケージをPyPINPMで発見しているという。

タイポスクワッティングに絞って行われた今回の調査では、人気のRubyGemパッケージのリストを作り、名前の似たパッケージのアップロードを2月16日から25日まで監視。その結果、700以上の悪質なパッケージが2つのアカウントからアップロードされたそうだ。悪質なパッケージのダウンロード数は2アカウント合計で10万件近くに上り、たとえば悪質なパッケージ「atlas-client」は本物の「atlas_client」のダウンロード数の3分の1近くダウンロードされていたとのこと。

悪質なパッケージはいずれもWindowsユーザーをターゲットにしたものとみられ、インストールすると最終的にVBScriptがループで常駐してクリップボードを監視する。クリップボードで暗号通貨ワレットアドレスに一致する形式の文字列が検出されると、攻撃者の支配下にあるアドレスに置き換える処理が行われるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 役割分担 (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2020年04月19日 19時32分 (#3800682)

    >ストーリー by headless
    こういう話題の処理は、専門家に依頼すべきだったのでは。

    • by Anonymous Coward

      Hailomさんのことかーーーー!

      • by Anonymous Coward

        なんとなく同一人物とおもっていたが

    • by Anonymous Coward

      いわゆるタイポスラッディングである。

  • by Technobose (6861) on 2020年04月19日 19時10分 (#3800675) 日記

    たいていの人にとっては大して実害も無く話題提供位にしかならなかったけど、今は実害もあって怖いですね。

    //医療関係では、昔から誤字脱字は大事故の元だったけどね・・。

  • by Anonymous Coward on 2020年04月19日 21時30分 (#3800724)

    パッケージシステムとか怖い
    あんなどこの馬の骨が提供してて何に使ってるかもよくわからないライブラリを
    じゃんじゃか寄せ集めて何となくバイナリができちゃうとか、正気の沙汰とは思えない

    • by kitune-san (48712) on 2020年04月19日 23時34分 (#3800767) 日記

      LFSを使っているのかな

      親コメント
    • by Anonymous Coward

      半分冗談半分本気で何処まで精査したもんなんだろうねと思う。
      トラブル起きると精査してない方が悪いって言われるのは当然なんだけど。。
      今時のフロントエンドとかreact-scriptsで作った雛型をejectしたらnode_modulesに1000もパッケージ展開されるから、
      現実的に自分や誰かがちょっとtypoした時どうやってカバーしてんだろう。リスク飲むしかないのか。
      大手ITゼネコンでrailsでやった時は製造業ライクな先方の基準に従って事細かに管理させられて、
      理屈は分かるも若干辟易させられたが、そうはいかんところが大半だろうし。

      • by Anonymous Coward

        typoに限らず、メンテナーが変わったタイミングでマルウェアが仕込まれる [opensource.srad.jp]なんてのもあるからね、

        リポジトリに悪意あるコードを登録できてしまう以上、
        typoに限らず、パッケージの新規導入・バージョンアップ時に(パッケージが依存するパッケージ含めて)
        そういったコードが埋め込まれている可能性もあると思う。

    • by Anonymous Coward

      > 何となくバイナリができちゃうとか

      それってもうRubyの話じゃなくなってない?

      • by Anonymous Coward

        最大限エスパーちからを働かせるとネイティブコードのbindingを含んだgemで…
        ってもどっちでも一緒なんだけどね

      • by Anonymous Coward

        パッケージシステムってRubyの専売特許じゃないじゃん?

    • by Anonymous Coward

      そのうち、コピペしたらマルウェアtypoパッケージが組み込まれる、糞Qiita記事とかもセットで出てきそう。

  • by Anonymous Coward on 2020年04月19日 19時34分 (#3800684)

    タイトルオンリー

  • by Anonymous Coward on 2020年04月19日 19時37分 (#3800687)

    最近は「ワレット」ってカタカナをあてるの?

    最初なんだか分からなかった。

  • by Anonymous Coward on 2020年04月19日 19時44分 (#3800692)

    Juliaはprojectの中でモジュールとそのUUIDを指定することで一意性(同一性?)を担保してるのかな?詳しい方の解説を〜
    Ruby Gemsは昔Gemへの署名の議論があったと思いますが、現在はどうなっているのでしょう。

    • by Anonymous Coward

      基本的には配布方法の問題なので同一性を担保できても意味がない
      署名がつけられても多分あまり意味がない

    • by Anonymous Coward

      入力ミスによる一致、検索結果の誤認を狙っているので、一意性が破られている訳ではないですね
      欲しいパッケージの UUID をどこかのサイトからコピペしてくるなら、パッケージ名をコピペしても同程度には安全だと思われます

      署名は経路で改ざんされていないか、別サイトで配布されている場合に改ざんされていないか、似た作者名で偽装している場合に明確に区別できる
      などに効果がありますが、今の SSL と同じで別にそのパッケージに悪意がないことの証明にはなりません

      安全に使うには、大手が出しているもの、代表的なパッケージなどを選ぶことでしょうか
      あとは自分でつくるか、OSS であればソースを見るなど、やはりコストを払う必要がありますね

  • by Anonymous Coward on 2020年04月19日 19時49分 (#3800695)

    「エノケソ一座」っていつ頃の話だったっけ。

    • by Anonymous Coward

      それは視覚的に似ているだけでタイポを習ってはいないのでは。
      自分が知ってる一番古いのはふた昔くらい前にみたwww.misrocoft.com。似たような組み合わせを試したら全部あったw

  • by Anonymous Coward on 2020年04月19日 19時52分 (#3800696)

    詳しくない人がうろ覚えで誤字に気付かず検索する→誤字ってるのでまともなページが出てこない→スラドが出てきたのでその記事を見る→閲覧者が増える→hylomが儲かる

    # 「もしかして」というGoogleによる妨害工作を許すな

    • by Anonymous Coward

      誤字ってない検索の流入が減るからあかんやろ

      • by Anonymous Coward

        おせっかいさんが正解を提示して誤字を指摘するので、正規ルートの購読者も誘導できる。

  • by Anonymous Coward on 2020年04月19日 21時35分 (#3800727)

    slコマンドに怪しげな機能が入ってないかソースレビューしないと…

    • by Anonymous Coward

      なんかね
      lsしたらいきなり画面の中で汽車が走り出すんですよ
      もう馬鹿かと
      自分ぐらいのレベルになるとこれはクラッカーに侵入されたとすぐに気がつきましたよ
      みんなもセキュリティーは気をつけてな

      • by Anonymous Coward on 2020年04月20日 7時18分 (#3800815)

        ごめん勝手に入れた
        なんかもうslでSLが走ってくれないサーバーって落ち着かなくて

        親コメント
        • UNIX/Linuxが2038年問題を乗り越えた後、現役や博物館のSLと、
          UNIX/Linux上のslと、どっちが長く残るんでしょうね。

          親コメント
        • by Anonymous Coward

          こうして無駄に電気が消費され、環境団体から石炭ガーという話が出てくるのであった。

        • by Anonymous Coward

          slコマンドの趣旨は

          「こんな短いコマンド(ls)をタイプミスするほど焦ってもいいことないぞ。
          SLが走る光景でも見て落ち着きたまえ」

          というような話だったと思うのだが。

          > なんかもうslでSLが走ってくれないサーバーって落ち着かなくて

          というのはこの趣旨から見てセーフなのかアウトなのか?(2点)

          • by Anonymous Coward

            slコマンドに感銘したのでその昔大学研究室の共用PCにdorという
            コマンドをつくって仕込んでおいたことがある。
            Windowsなのにときどき御開帳のグラフィックが表示されていたの
            をみたのでそれなりに需要はあったようだ。
            できればslのようにcursesでつくりたかった。

          • by Anonymous Coward

            manでは

            sl - キータイプを矯正します。

            sl は、高度に発展した、キータイプ矯正を目的とするアニメーションプログラムです。

            となっている。
            時間を開けることで落ち着くよう促すって意味合いも有りはするだろうけど
            暫し操作不能になる事でタイプミスを噛み締めさせ反省を促す効果のが強いように感じる。

            # 大学時代、同じサーバで知り合いが使っているttyにslの出力流し込む非道を働いたのでAC
            ## 操作不能にこそならないがしっかりslが通過する。

  • by Anonymous Coward on 2020年04月20日 11時46分 (#3800893)

    最初にGemfileとかpackage.json書いた時は(typoに気付かず)すんなり動いてバージョンアップも追従されてく
    そんで頃合い見てevilな実装を差し込んだりすると俺なら絶対対応できない…

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...