🥇تم اكتشاف تعليمات برمجية ضارة في Rest-client و10 حزم روبي أخرى

في حزمة جوهرة شعبية بقية العميل، بإجمالي 113 مليون عملية تنزيل، المحددة استبدال التعليمات البرمجية الضارة (CVE-2019-15224) التي تقوم بتنزيل الأوامر القابلة للتنفيذ وترسل المعلومات إلى مضيف خارجي. تم تنفيذ الهجوم من خلال مساومة حساب المطور Rest-client في مستودع Rubygems.org، وبعد ذلك نشر المهاجمون الإصدارات 13-14 في 1.6.10 و1.6.13 أغسطس، والتي تضمنت تغييرات ضارة. قبل حظر الإصدارات الضارة، تمكن حوالي ألف مستخدم من تنزيلها (أصدر المهاجمون تحديثات للإصدارات الأقدم حتى لا يجذبوا الانتباه).

يتجاوز التغيير الضار أسلوب "#authenticate" الموجود في الفصل الدراسي
الهوية، وبعد ذلك يؤدي استدعاء كل طريقة إلى إرسال البريد الإلكتروني وكلمة المرور المرسلين أثناء محاولة المصادقة إلى مضيف المهاجمين. بهذه الطريقة، يتم اعتراض معلمات تسجيل الدخول لمستخدمي الخدمة الذين يستخدمون فئة الهوية ويقومون بتثبيت نسخة ضعيفة من مكتبة العميل المتبقي، والتي ظهرت باعتبارها تبعية في العديد من حزم Ruby الشائعة، بما في ذلك ast (64 مليون عملية تنزيل)، وoauth (32 مليونًا)، وfastlane (18 مليونًا)، وkubeclient (3.7 مليون).

بالإضافة إلى ذلك، تمت إضافة باب خلفي إلى الكود، مما يسمح بتنفيذ كود روبي التعسفي عبر وظيفة التقييم. يتم إرسال الرمز عبر ملف تعريف الارتباط المعتمد بواسطة مفتاح المهاجم. لإبلاغ المهاجمين بتثبيت حزمة ضارة على مضيف خارجي، يتم إرسال عنوان URL لنظام الضحية ومجموعة مختارة من المعلومات حول البيئة، مثل كلمات المرور المحفوظة لنظام إدارة قواعد البيانات (DBMS) والخدمات السحابية. تم تسجيل محاولات تنزيل البرامج النصية لتعدين العملات المشفرة باستخدام التعليمات البرمجية الضارة المذكورة أعلاه.

بعد دراسة التعليمات البرمجية الضارة كان مكشوفأن تغييرات مماثلة موجودة في 10 حزم في Ruby Gems، والتي لم يتم الاستيلاء عليها، ولكن تم إعدادها خصيصًا من قبل المهاجمين استنادًا إلى مكتبات شائعة أخرى ذات أسماء مشابهة، حيث تم استبدال الشرطة بشرطة سفلية أو العكس (على سبيل المثال، استنادًا إلى محلل كرون تم إنشاء حزمة ضارة cron_parser، واستنادا إليها doge_coin حزمة خبيثة من عملة دوجي). حزم المشاكل:

Coin_base: 4.2.2، 4.2.1
blockchain_wallet: 0.0.6، 0.0.7
رهيبة بوت: 1.18.0
عملة دوجي: 1.0.2
ألوان كابيسترانو: 0.5.5
bitcoin_vanity: 4.3.3
lita_coin: 0.0.3
قريباً: 0.2.8
omniauth_amazon: 1.0.1
cron_parser: 1.0.12، 1.0.13، 0.1.4

تم نشر الحزمة الخبيثة الأولى من هذه القائمة في 12 مايو، ولكن ظهر معظمها في يوليو. في المجمل، تم تنزيل هذه الحزم حوالي 2500 مرة.

المصدر: opennet.ru

تم اكتشاف رمز ضار في باقي العميل و 10 حزم أخرى من روبي

إضافة تعليق إلغاء الرد