rest-client və digər 10 Ruby paketində zərərli kod aşkarlanıb

Məşhur daş paketində istirahət-müştəri, cəmi 113 milyon yükləmə ilə, müəyyən edilmişdir İcra edilə bilən əmrləri endirən və xarici hosta məlumat göndərən zərərli kodun (CVE-2019-15224) dəyişdirilməsi. Hücum vasitəsilə həyata keçirilib güzəştə getmək rubygems.org deposunda developer account rest-client, bundan sonra təcavüzkarlar 13 və 14 avqust tarixlərində zərərli dəyişiklikləri ehtiva edən 1.6.10-1.6.13 buraxılışlarını dərc etdilər. Zərərli versiyalar bloklanmazdan əvvəl minə yaxın istifadəçi onları endirməyə müvəffəq olub (təcavüzkarlar diqqəti cəlb etməmək üçün köhnə versiyalara yeniləmələr buraxıblar).

Zərərli dəyişiklik sinifdə "#authenticate" metodunu ləğv edir
Şəxsiyyət, bundan sonra hər bir metod çağırışı identifikasiya cəhdi zamanı göndərilən e-poçt və parolun təcavüzkarların hostuna göndərilməsi ilə nəticələnir. Bu yolla, Identity sinifindən istifadə edən və qalan müştəri kitabxanasının həssas versiyasını quraşdıran xidmət istifadəçilərinin giriş parametrləri ələ keçirilir. səsləndirilib ast (64 milyon yükləmə), oauth (32 milyon), fastlane (18 milyon) və kubeclient (3.7 milyon) daxil olmaqla bir çox məşhur Ruby paketlərindən asılılıq kimi.

Bundan əlavə, koda ixtiyari Ruby kodunu qiymətləndirmə funksiyası vasitəsilə icra etməyə imkan verən arxa qapı əlavə edilmişdir. Kod təcavüzkarın açarı ilə təsdiqlənmiş kuki vasitəsilə ötürülür. Təcavüzkarları xarici hostda zərərli paketin quraşdırılması barədə məlumatlandırmaq üçün qurbanın sisteminin URL-i və DBMS və bulud xidmətləri üçün saxlanmış parollar kimi ətraf mühit haqqında məlumat seçimi göndərilir. Yuxarıda qeyd olunan zərərli koddan istifadə etməklə kriptovalyuta mədənçiliyi üçün skriptləri yükləmək cəhdləri qeydə alınıb.

Zərərli kodu öyrəndikdən sonra belə oldu aşkara çıxardıoxşar dəyişikliklərin mövcud olduğunu bildirir 10 paket ələ keçirilməyən, lakin tirenin alt xətt ilə əvəz edildiyi və ya əksinə oxşar adları olan digər məşhur kitabxanalar əsasında təcavüzkarlar tərəfindən xüsusi hazırlanmış Ruby Gems-də (məsələn, əsasında cron-parser zərərli cron_parser paketi yaradıldı və əsasında doge_coin doge-coin zərərli paketi). Problemli paketlər:

• sikkə_baza: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• zəhmli-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano rəngləri: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• tezliklə: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Bu siyahıdan ilk zərərli paket mayın 12-də yerləşdirilib, lakin onların əksəriyyəti iyulda peyda olub. Ümumilikdə bu paketlər təxminən 2500 dəfə endirilib.

Mənbə: opennet.ru