Codice malicioso rilevatu in rest-client è altri 10 pacchetti Ruby

In un pacchettu di gemme populari restu-cliente, cù un totale di 113 milioni di scaricamentu, identificatu Sustituzione di codice maliziusu (CVE-2019-15224) chì scarica cumandamenti eseguibili è manda infurmazioni à un host esternu. L'attaccu hè statu fattu attraversu cumprumissu account di sviluppatore rest-client in u repository rubygems.org, dopu à quale l'attaccanti publicatu versioni 13-14 u 1.6.10 è 1.6.13 d'aostu, chì includenu cambiamenti maliziusi. Prima chì e versioni maliziusi sò stati bluccati, circa un milla utilizatori hà sappiutu di scaricallu (l'attaccanti anu liberatu l'aghjurnamenti à e versioni più vechje per ùn attirà l'attenzione).

U cambiamentu maliziusu annulla u metudu "#authenticate" in a classe
Identità, dopu chì ogni metudu chjamate risultati in l'email è a password mandata durante u tentativu di autentificazione esse mandatu à l'ospiti di l'attaccanti. In questu modu, i paràmetri di login di l'utilizatori di serviziu chì utilizanu a classa Identità è installendu una versione vulnerabile di a biblioteca di u restu-cliente sò interceptati, chì presentatu cum'è una dependenza in parechji pacchetti Ruby populari, cumprese ast (64 milioni di download), oauth (32 milioni), fastlane (18 milioni), è kubeclient (3.7 milioni).

Inoltre, un backdoor hè statu aghjuntu à u codice, chì permette à u codice Ruby arbitrariu per esse eseguitu via a funzione eval. U codice hè trasmessu via un Cookie certificatu da a chjave di l'attaccante. Per informà à l'attaccanti nantu à a stallazione di un pacchettu maliziusu nantu à un òspite esternu, l'URL di u sistema di a vittima è una selezzione d'infurmazioni nantu à l'ambiente, cum'è password salvate per u DBMS è i servizii di nuvola, sò mandati. I tentativi di scaricà scripts per a minera di criptocurrency sò stati registrati cù u codice maliziusu sopra citatu.

Dopu avè studiatu u codice maliziusu era rivelatuchì cambiamenti simili sò prisenti in 10 pacchetti in Ruby Gems, chì ùn sò micca stati catturati, ma sò stati preparati apposta da l'attaccanti basati in altre biblioteche populari cù nomi simili, in quale u trattino hè statu rimpiazzatu cù un underscore o viceversa (per esempiu, basatu cron-parser un pacchettu maliziusu cron_parser hè statu creatu, è basatu annantu doge_coin pacchettu maliziusu doge-coin). Pacchetti di prublemi:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• fantasticu-bot: 1.18.0
• doge-coin: 1.0.2
• capistranu-culori: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• prestu: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

U primu pacchettu maliziusu di sta lista hè stata publicata u 12 di maghju, ma a maiò parte di elli apparsu in lugliu. In totale, sti pacchetti sò stati scaricati circa 2500 volte.

Source: opennet.ru