У rest-client і яшчэ 10 Ruby-пакетах выяўлены шкоднасны код

У папулярным gem-пакеце rest-client, які налічвае ў суме 113 мільёны загрузак, выяўлена падстаноўка шкоднаснага кода (CVE-2019-15224), які загружае выкананыя каманды і адпраўляе інфармацыю на знешні хост. Атака была зроблена праз кампраметацыю уліковага запісу распрацоўніка rest-client у рэпазітары rubygems.org, пасля чаго зламыснікі 13 і 14 жніўня апублікавалі выпускі 1.6.10-1.6.13, якія ўключаюць шкоднасныя змены. Да блакавання шкоднасных версій іх паспелі загрузіць каля тысячы карыстачоў (нападаючыя каб не прыцягваць увагу выпусцілі абнаўленні старых версій).

Шкодная змена перавызначае метад «#authenticate» у класе
Identity, пасля чаго кожны выклік метаду прыводзіць да адпраўкі перададзенага пры спробе аўтэнтыфікацыі email і пароля на хост зламыснікаў. Такім чынам ажыццяўляецца перахоп параметраў уваходу карыстальнікаў сэрвісаў, якія выкарыстоўваюць клас Identity і ўстанавілі ўразлівую версію бібліятэкі rest-client, якая. фігуруе у якасці залежнасці ў шматлікіх папулярных Ruby-пакетах, уключаючы ast (64 млн загрузак), oauth (32 млн), fastlane (18 млн) і kubeclient (3.7 млн).

Акрамя таго, у код дададзены бэкдор, які дазваляе выканаць адвольны Ruby-код праз функцыю eval. Код перадаецца праз Cookie, завераную ключом атакавалага. Для інфармавання зламыснікаў аб усталёўцы шкоднаснага пакета на вонкавы хост адпраўляецца URL сістэмы ахвяры і падборка звестак аб асяроддзі, такіх як захаваныя паролі да СКБД і хмарным службам. З выкарыстаннем вышэйадзначанага шкоднаснага кода зафіксаваны спробы загрузкі скрыптоў для майтынга крыптавалюты.

Пасля вывучэння шкоднаснага кода было выяўлена, Што аналагічныя змены прысутнічаюць яшчэ ў 10 пакетах у Ruby Gems, якія не былі захоплены, а спецыяльна падрыхтаваны зламыснікамі на базе іншых папулярных бібліятэк з падобнымі імёнамі, у якіх працяжнік было заменена на падкрэсленне ці наадварот (напрыклад, на базе cron-parser створаны шкоднасны пакет cron_parser, а на базе doge_coin шкоднасны пакет (doge-coin). Праблемныя пакеты:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• дож-манета: 1.0.2
• capistrano-colors: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• хутка-хутка: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Першы шкоднасны пакет з дадзенага спісу быў размешчаны 12 траўня, але большая частка з'явілася ў ліпені. У суме гэтыя пакеты паспелі загрузіць каля 2500 разоў.

Крыніца: opennet.ru