Haittakoodi havaittu rest-client- ja 10 muussa Ruby-paketissa
Suositussa helmipakkauksessa lepo-asiakas, yhteensä 113 miljoonaa latausta, tunnistettu Haitallisen koodin (CVE-2019-15224) korvaaminen, joka lataa suoritettavat komennot ja lähettää tietoja ulkoiseen isäntään. Hyökkäys toteutettiin läpi vaarantaa kehittäjätilin rest-client rubygems.org-arkistossa, minkä jälkeen hyökkääjät julkaisivat 13. ja 14. elokuuta julkaisut 1.6.10-1.6.13, jotka sisälsivät haitallisia muutoksia. Ennen kuin haitalliset versiot estettiin, noin tuhat käyttäjää onnistui lataamaan ne (hyökkääjät julkaisivat päivityksiä vanhemmille versioille, jotta ne eivät herättäisi huomiota).
Haitallinen muutos ohittaa luokan #authenticate-menetelmän
Identiteetti, jonka jälkeen jokainen menetelmäkutsu johtaa todennusyrityksen aikana lähetettyyn sähköpostiin ja salasanaan, joka lähetetään hyökkääjän isännälle. Näin Identity-luokkaa käyttävien ja rest-client -kirjaston haavoittuvan version asentavien palvelun käyttäjien kirjautumisparametrit siepataan, mikä esillä riippuvaisena monista suosituista Ruby-paketteista, mukaan lukien ast (64 miljoonaa latausta), oauth (32 miljoonaa), fastlane (18 miljoonaa) ja kubeclient (3.7 miljoonaa).
Lisäksi koodiin on lisätty takaovi, joka mahdollistaa mielivaltaisen Ruby-koodin suorittamisen eval-toiminnon kautta. Koodi välitetään hyökkääjän avaimella varmentaman evästeen kautta. Ilmoittaakseen hyökkääjille haitallisen paketin asennuksesta ulkoiselle isännälle lähetetään uhrin järjestelmän URL-osoite ja valikoima tietoja ympäristöstä, kuten tallennettuja salasanoja DBMS- ja pilvipalveluille. Yritykset ladata skriptejä kryptovaluutan louhintaan tallennettiin käyttämällä edellä mainittua haittakoodia.
Tutkittuaan haittakoodia se oli paljastuiettä samanlaisia muutoksia tapahtuu 10 pakettia Ruby Gemsissä, joita ei vangittu, mutta hyökkääjät ovat erityisesti valmistaneet muiden samannimististen suosittujen kirjastojen perusteella, joissa viiva korvattiin alaviivalla tai päinvastoin (esim. cron-parser haitallinen paketti cron_parser luotiin ja perustuu doge_kolikko haitallinen doge-kolikkopaketti). Ongelmapaketit:
Ensimmäinen haitallinen paketti tästä luettelosta julkaistiin 12. toukokuuta, mutta suurin osa niistä ilmestyi heinäkuussa. Yhteensä näitä paketteja ladattiin noin 2500 kertaa.