Zlonamjeran kod otkriven u rest-client i 10 drugih Ruby paketa

U popularnom pakovanju dragulja rest-client, sa ukupno 113 miliona preuzimanja, identifikovan Zamjena zlonamjernog koda (CVE-2019-15224) koji preuzima izvršne komande i šalje informacije vanjskom hostu. Napad je izveden kroz kompromis developer account rest-client u repozitoriju rubygems.org, nakon čega su napadači objavili izdanja 13-14 1.6.10. i 1.6.13. avgusta, koja su uključivala zlonamjerne promjene. Prije nego što su zlonamjerne verzije blokirane, oko hiljadu korisnika uspjelo ih je preuzeti (napadači su pustili ažuriranja na starije verzije kako ne bi privukli pažnju).

Zlonamjerna promjena nadjačava metodu "#authenticate" u klasi
Identitet, nakon čega svaki poziv metode rezultira slanjem e-pošte i lozinke za vrijeme pokušaja autentifikacije na host napadača. Na ovaj način se presreću parametri za prijavu korisnika usluga koji koriste klasu Identity i instaliraju ranjivu verziju biblioteke rest-client, što istaknuto kao zavisnost od mnogih popularnih Ruby paketa, uključujući ast (64 miliona preuzimanja), oauth (32 miliona), fastlane (18 miliona) i kubeclient (3.7 miliona).

Dodatno, kodu je dodat backdoor koji omogućava izvršavanje proizvoljnog Ruby koda preko funkcije eval. Šifra se prenosi putem kolačića ovjerenog od strane napadačevog ključa. Kako bi se napadači informirali o instalaciji zlonamjernog paketa na eksterni host, šalje se URL žrtvinog sistema i izbor informacija o okruženju, kao što su sačuvane lozinke za DBMS i cloud servise. Pokušaji preuzimanja skripti za rudarenje kriptovaluta zabilježeni su korištenjem gore navedenog zlonamjernog koda.

Nakon proučavanja zlonamjernog koda to je bilo otkrivenoda su slične promjene prisutne u 10 pakovanja u Ruby Gems, koji nisu zarobljeni, ali su ih napadači posebno pripremili na osnovu drugih popularnih biblioteka sa sličnim nazivima, u kojima je crtica zamijenjena donjom crtom ili obrnuto (na primjer, na osnovu cron-parser kreiran je zlonamjerni paket cron_parser, koji je zasnovan na doge_coin zlonamjerni paket doge-coin). Problemski paketi:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• super-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-colors: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• uskoro dolazi: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Prvi maliciozni paket sa ove liste objavljen je 12. maja, ali se većina njih pojavila u julu. Ukupno, ovi paketi su preuzeti oko 2500 puta.

izvor: opennet.ru