Ondsindet kode fundet i rest-client og 10 andre Ruby-pakker

I en populær ædelstenspakke hvile-klient, med i alt 113 millioner downloads, identificeret Erstatning af ondsindet kode (CVE-2019-15224), der downloader eksekverbare kommandoer og sender information til en ekstern vært. Angrebet blev udført igennem kompromis udviklerkonto rest-client i rubygems.org repository, hvorefter angriberne offentliggjorde udgivelser 13-14 den 1.6.10. og 1.6.13. august, som inkluderede ondsindede ændringer. Før de ondsindede versioner blev blokeret, nåede omkring tusinde brugere at downloade dem (angriberne frigav opdateringer til ældre versioner for ikke at tiltrække opmærksomhed).

Den ondsindede ændring tilsidesætter "#authenticate"-metoden i klassen
Identitet, hvorefter hvert metodekald resulterer i, at den e-mail og adgangskode, der blev sendt under autentificeringsforsøget, sendes til angriberens vært. På denne måde opsnappes login-parametrene for tjenestebrugere, der bruger Identity-klassen og installerer en sårbar version af rest-client-biblioteket, hvilket fremhævet som en afhængighed i mange populære Ruby-pakker, inklusive ast (64 millioner downloads), oauth (32 millioner), fastlane (18 millioner) og kubeclient (3.7 millioner).

Derudover er der tilføjet en bagdør til koden, som gør det muligt at udføre vilkårlig Ruby-kode via eval-funktionen. Koden overføres via en cookie, der er certificeret af hackerens nøgle. For at informere angribere om installationen af ​​en ondsindet pakke på en ekstern vært, sendes URL'en til ofrets system og et udvalg af oplysninger om miljøet, såsom gemte adgangskoder til DBMS og cloud-tjenester. Forsøg på at downloade scripts til cryptocurrency-mining blev registreret ved hjælp af ovennævnte ondsindede kode.

Efter at have studeret den ondsindede kode var det afsløretat lignende ændringer er til stede i 10 pakker i Ruby Gems, som ikke blev fanget, men var specielt forberedt af angribere baseret på andre populære biblioteker med lignende navne, hvor bindestregen blev erstattet med en understregning eller omvendt (f.eks. baseret på cron-parser en ondsindet pakke cron_parser blev oprettet og baseret på doge_coin doge-coin ondsindet pakke). Problempakker:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• fantastisk-bot: 1.18.0
• doge-mønt: 1.0.2
• capistrano-farver: 0.5.5
• bitcoin_forfængelighed: 4.3.3
• lita_coin: 0.0.3
• kommer-snart: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Den første ondsindede pakke fra denne liste blev offentliggjort den 12. maj, men de fleste af dem dukkede op i juli. I alt blev disse pakker downloadet omkring 2500 gange.

Kilde: opennet.ru