Ang malisyoso nga code nakit-an sa rest-client ug 10 ka uban pang Ruby packages

Sa usa ka popular nga gem package pahulay-kliyente, nga adunay total nga 113 milyon nga mga pag-download, giila Pag-ilis sa malisyoso nga code (CVE-2019-15224) nga nag-download sa mga executable nga mga sugo ug nagpadala sa impormasyon ngadto sa usa ka eksternal nga host. Ang pag-atake gihimo pinaagi sa pagkompromiso developer account rest-client sa rubygems.org repository, human niini gipatik sa mga tig-atake ang pagpagawas sa 13-14 niadtong Agosto 1.6.10 ug 1.6.13, nga naglakip sa malisyosong mga kausaban. Sa wala pa gibabagan ang malisyosong mga bersyon, mga usa ka libo nga tiggamit ang nakahimo sa pag-download niini (ang mga tig-atake nagpagawas sa mga update sa mas daan nga mga bersyon aron dili madani ang atensyon).

Ang malisyoso nga pagbag-o nag-override sa "#authenticate" nga pamaagi sa klase
Identity, pagkahuman ang matag pamaagi nga tawag moresulta sa email ug password nga gipadala sa panahon sa pagsulay sa pag-authenticate nga gipadala sa host sa mga tig-atake. Niining paagiha, ang mga parameter sa pag-login sa mga tiggamit sa serbisyo nga naggamit sa klase sa Identity ug ang pag-instalar sa usa ka mahuyang nga bersyon sa rest-client library kay natanggong, nga gipakita isip dependency sa daghang sikat nga Ruby packages, lakip ang ast (64 million downloads), oauth (32 million), fastlane (18 million), ug kubeclient (3.7 million).

Dugang pa, usa ka backdoor ang gidugang sa code, nga nagtugot sa arbitraryong Ruby code nga ipatuman pinaagi sa eval function. Ang code gipasa pinaagi sa usa ka Cookie nga gipamatud-an sa yawe sa tig-atake. Aron sa pagpahibalo sa mga tig-atake mahitungod sa pag-instalar sa usa ka malisyoso nga pakete sa usa ka eksternal nga host, ang URL sa sistema sa biktima ug usa ka pagpili sa impormasyon mahitungod sa palibot, sama sa mga gitipigan nga mga password alang sa DBMS ug mga serbisyo sa panganod, gipadala. Ang mga pagsulay sa pag-download sa mga script alang sa pagmina sa cryptocurrency girekord gamit ang nahisgutan nga malisyoso nga code.

Human sa pagtuon sa malisyosong code kini gipadayagnga ang susama nga mga pagbag-o anaa sa 10 ka pakete sa Ruby Gems, nga wala makuha, apan espesyal nga giandam sa mga tig-atake base sa ubang mga sikat nga librarya nga adunay susama nga mga ngalan, diin ang dash gipulihan og underscore o vice versa (pananglitan, base sa cron-parser usa ka malisyoso nga pakete nga cron_parser ang gihimo, ug gibase sa doge_coin doge-coin malisyoso nga pakete). Mga pakete sa problema:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• makalilisang-bot: 1.18.0
• doge-sinsilyo: 1.0.2
• capistrano-kolor: 0.5.5
• bitcoin_kakawangan: 4.3.3
• lita_coin: 0.0.3
• umaabot-sa dili madugay: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Ang una nga malisyoso nga pakete gikan sa kini nga lista gi-post kaniadtong Mayo 12, apan kadaghanan niini nagpakita kaniadtong Hulyo. Sa kinatibuk-an, kini nga mga pakete gi-download mga 2500 ka beses.

Source: opennet.ru