Škodlivý kód zjištěn v klientu rest-client a 10 dalších balíčcích Ruby

V oblíbeném balení drahokamů rest-klients celkovým počtem 113 milionů stažení, identifikované Náhrada škodlivého kódu (CVE-2019-15224), který stahuje spustitelné příkazy a odesílá informace externímu hostiteli. Útok byl proveden skrz kompromis vývojářský účet rest-client v úložišti rubygems.org, načež útočníci 13. a 14. srpna zveřejnili vydání 1.6.10-1.6.13, která obsahovala škodlivé změny. Než byly škodlivé verze zablokovány, stihla si je stáhnout asi tisícovka uživatelů (útočníci vydali aktualizace starších verzí, aby nevzbudili pozornost).

Škodlivá změna přepíše metodu "#authenticate" ve třídě
Identita, po níž každé volání metody vede k odeslání e-mailu a hesla odeslaného během pokusu o ověření hostiteli útočníků. Tímto způsobem jsou zachyceny přihlašovací parametry uživatelů služeb, kteří používají třídu Identity a instalují zranitelnou verzi knihovny zbytku klienta, která se objeví jako závislost v mnoha oblíbených balíčcích Ruby, včetně ast (64 milionů stažení), oauth (32 milionů), fastlane (18 milionů) a kubeclient (3.7 milionů).

Kromě toho byla do kódu přidána zadní vrátka, která umožňuje spuštění libovolného Ruby kódu prostřednictvím funkce eval. Kód je přenášen prostřednictvím cookie certifikovaného klíčem útočníka. Aby byli útočníci informováni o instalaci škodlivého balíčku na externím hostiteli, je odeslána adresa URL systému oběti a výběr informací o prostředí, jako jsou uložená hesla pro DBMS a cloudové služby. Pokusy o stažení skriptů pro těžbu kryptoměn byly zaznamenány pomocí výše zmíněného škodlivého kódu.

Po prostudování škodlivého kódu ano odhalenože podobné změny jsou přítomny v 10 balíčků v Ruby Gems, které nebyly zachyceny, ale byly speciálně připraveny útočníky na základě jiných populárních knihoven s podobnými názvy, ve kterých byla pomlčka nahrazena podtržítkem nebo naopak (např. cron-parser byl vytvořen škodlivý balíček cron_parser a je založen na doge_coin škodlivý balíček doge-coin). Problémové balíčky:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• úžasný robot: 1.18.0
• doge-coin: 1.0.2
• capistrano-barvy: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• coming-brzy: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

První škodlivý balíček z tohoto seznamu byl zveřejněn 12. května, ale většina z nich se objevila v červenci. Celkem byly tyto balíčky staženy asi 2500krát.

Zdroj: opennet.ru