Los expertos de Sonatype han descubierto los paquetes maliciosos Pretty_color y Ruby-bitcoin en el repositorio oficial de RubyGems.. El malware ya ha sido eliminado de la plataforma..
El malware oculto en los paquetes mencionados apuntaba a máquinas con Windows y reemplazaba las direcciones de cualquier billetera de criptomonedas en el portapapeles con las de los atacantes.’ dirección de billetera. En esencia, el malware ayudó a los piratas informáticos a interceptar transacciones y robar la criptomoneda de otra persona.
Los investigadores escriben que Pretty_color contenía archivos legítimos para colorear, un componente de código abierto conocido y confiable, dificultando la detección de la amenaza.
El paquete también incluía un archivo llamado version.rb, que supuestamente contenía metadatos de la versión, pero en realidad contenía código ofuscado diseñado para ejecutar un script malicioso en computadoras con Windows.
En el código también se observó una referencia sarcástica al analista de amenazas de ReversingLabs. Tomislav Maljic, quien en la primavera de 2020 identificado más que 700 bibliotecas maliciosas de RubyGems diseñado para extraer bitcoins en máquinas infectadas.
Todo el malware detectado en ese momento eran clones de varias bibliotecas legítimas.. Usaron la técnica de typosquatting., eso es, tenían nombres deliberadamente similares a los originales, e incluso trabajó, pero también contenía archivos maliciosos adicionales.
Según los investigadores de Sonatype, el paquete ruby-bitcoin contiene sólo código malicioso (Lo mismo que en el archivo version.rb de Pretty_color.).
Curiosamente, La versión de texto del script malicioso utilizado en estos ataques fue descubierta por expertos en GitHub en una cuenta no relacionada llamada quiero llorar.vbs, aunque definitivamente no tiene conexión con el malware WannaCry.
Sin embargo, Los repositorios de software de código abierto son utilizados por organizaciones públicas y privadas para desarrollar aplicaciones de misión crítica.. E incluso estos ataques aparentemente insignificantes son motivo de gran preocupación dado lo desenfrenados que han sido los ataques a las cadenas de suministro de software en 2020. Por último, Vientos solares fue hackeado debido a un error de código abierto en GitHub.
