S'ha detectat codi maliciós a rest-client i 10 paquets Ruby més

En un paquet de joies populars descans-client, amb un total de 113 milions de descàrregues, identificat Substitució de codi maliciós (CVE-2019-15224) que descarrega ordres executables i envia informació a un host extern. L'atac es va dur a terme compromís compte de desenvolupador rest-client al dipòsit rubygems.org, després del qual els atacants van publicar les versions 13-14 el 1.6.10 i 1.6.13 d'agost, que incloïen canvis maliciosos. Abans de bloquejar les versions malicioses, uns mil usuaris van aconseguir descarregar-les (els atacants van llançar actualitzacions de versions anteriors per no cridar l'atenció).

El canvi maliciós anul·la el mètode "#authenticate" de la classe
Identitat, després de la qual cada trucada de mètode fa que el correu electrònic i la contrasenya enviats durant l'intent d'autenticació s'enviïn a l'amfitrió dels atacants. D'aquesta manera, s'intercepten els paràmetres d'inici de sessió dels usuaris del servei que utilitzen la classe Identity i instal·len una versió vulnerable de la biblioteca de resta de client, que destacat com a dependència de molts paquets Ruby populars, inclosos ast (64 milions de descàrregues), oauth (32 milions), fastlane (18 milions) i kubeclient (3.7 milions).

A més, s'ha afegit una porta posterior al codi, que permet executar codi Ruby arbitrari mitjançant la funció eval. El codi es transmet mitjançant una cookie certificada per la clau de l'atacant. Per informar els atacants sobre la instal·lació d'un paquet maliciós en un host extern, s'envia l'URL del sistema de la víctima i una selecció d'informació sobre l'entorn, com ara contrasenyes desades per al SGBD i els serveis al núvol. Els intents de descarregar scripts per a la mineria de criptomonedes es van registrar mitjançant el codi maliciós esmentat anteriorment.

Després d'estudiar el codi maliciós va ser revelatque hi ha canvis similars 10 paquets a Ruby Gems, que no van ser capturats, però van ser especialment preparats pels atacants basant-se en altres biblioteques populars amb noms similars, en les quals el guió es va substituir per un guió baix o viceversa (per exemple, basat en cron-analitzador es va crear un paquet maliciós cron_parser i basat en doge_coin paquet doge-coin maliciós). Paquets de problemes:

• base_de_monedes: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• fantàstic-bot: 1.18.0
• doge-moneda: 1.0.2
• capistrano-colors: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• pròximament: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

El primer paquet maliciós d'aquesta llista es va publicar el 12 de maig, però la majoria van aparèixer al juliol. En total, aquests paquets es van descarregar unes 2500 vegades.

Font: opennet.ru