در بسته بندی گوهر محبوب با مجموع 113 میلیون دانلود، جایگزینی کدهای مخرب (CVE-2019-15224) که دستورات اجرایی را دانلود می کند و اطلاعات را به یک میزبان خارجی ارسال می کند. این حمله از طریق انجام شد حساب توسعه دهنده rest-client در مخزن rubygems.org، پس از آن مهاجمان نسخه های 13-14 را در 1.6.10 و 1.6.13 آگوست منتشر کردند که شامل تغییرات مخرب بود. قبل از مسدود شدن نسخههای مخرب، حدود هزار کاربر موفق به دانلود آنها شدند (هکرها بهروزرسانیهای نسخههای قدیمیتر را برای جلب توجه نکردن منتشر کردند).
تغییر مخرب روش "#authenticate" را در کلاس لغو می کند
هویت، که پس از آن هر فراخوانی متد منجر به ارسال ایمیل و رمز عبور ارسال شده در طول تلاش برای احراز هویت به میزبان مهاجمان می شود. به این ترتیب، پارامترهای ورود به سیستم کاربران سرویس با استفاده از کلاس Identity و نصب نسخه آسیبپذیر کتابخانه rest-client رهگیری میشوند که به عنوان یک وابستگی در بسیاری از بسته های محبوب روبی، از جمله ast (64 میلیون دانلود)، oauth (32 میلیون)، fastlane (18 میلیون)، و kubeclient (3.7 میلیون).
علاوه بر این، یک درب پشتی به کد اضافه شده است که امکان اجرای کد Ruby دلخواه را از طریق تابع eval می دهد. کد از طریق یک کوکی تایید شده توسط کلید مهاجم منتقل می شود. برای اطلاع رسانی به مهاجمان در مورد نصب یک بسته مخرب بر روی یک میزبان خارجی، URL سیستم قربانی و مجموعه ای از اطلاعات مربوط به محیط، مانند رمزهای عبور ذخیره شده برای DBMS و سرویس های ابری ارسال می شود. تلاشها برای دانلود اسکریپتهای استخراج ارز دیجیتال با استفاده از کد مخرب فوقالذکر ثبت شد.
پس از مطالعه کد مخرب آن بود که تغییرات مشابهی در آن وجود دارد در Ruby Gems، که دستگیر نشدند، اما به طور ویژه توسط مهاجمان بر اساس کتابخانه های محبوب دیگر با نام های مشابه، که در آن خط تیره با یک زیرخط یا برعکس (به عنوان مثال، بر اساس یک بسته مخرب cron_parser ایجاد شد و بر اساس بسته مخرب doge-coin). بسته های مشکل:
- : 4.2.2، 4.2.1
- : 0.0.6، 0.0.7
- : 1.18.0
- : 1.0.2
- : 0.5.5
- : 4.3.3
- : 0.0.3
- : 0.2.8
- : 1.0.1
- : 1.0.12 1.0.13 0.1.4
اولین بسته مخرب از این لیست در 12 می ارسال شد، اما بیشتر آنها در ماه جولای ظاهر شدند. در مجموع این بسته ها حدود 2500 بار دانلود شده اند.
منبع: opennet.ru