Haittakoodi havaittu rest-client- ja 10 muussa Ruby-paketissa

Suositussa helmipakkauksessa lepo-asiakas, yhteensä 113 miljoonaa latausta, tunnistettu Haitallisen koodin (CVE-2019-15224) korvaaminen, joka lataa suoritettavat komennot ja lähettää tietoja ulkoiseen isäntään. Hyökkäys toteutettiin läpi vaarantaa kehittäjätilin rest-client rubygems.org-arkistossa, minkä jälkeen hyökkääjät julkaisivat 13. ja 14. elokuuta julkaisut 1.6.10-1.6.13, jotka sisälsivät haitallisia muutoksia. Ennen kuin haitalliset versiot estettiin, noin tuhat käyttäjää onnistui lataamaan ne (hyökkääjät julkaisivat päivityksiä vanhemmille versioille, jotta ne eivät herättäisi huomiota).

Haitallinen muutos ohittaa luokan #authenticate-menetelmän
Identiteetti, jonka jälkeen jokainen menetelmäkutsu johtaa todennusyrityksen aikana lähetettyyn sähköpostiin ja salasanaan, joka lähetetään hyökkääjän isännälle. Näin Identity-luokkaa käyttävien ja rest-client -kirjaston haavoittuvan version asentavien palvelun käyttäjien kirjautumisparametrit siepataan, mikä esillä riippuvaisena monista suosituista Ruby-paketteista, mukaan lukien ast (64 miljoonaa latausta), oauth (32 miljoonaa), fastlane (18 miljoonaa) ja kubeclient (3.7 miljoonaa).

Lisäksi koodiin on lisätty takaovi, joka mahdollistaa mielivaltaisen Ruby-koodin suorittamisen eval-toiminnon kautta. Koodi välitetään hyökkääjän avaimella varmentaman evästeen kautta. Ilmoittaakseen hyökkääjille haitallisen paketin asennuksesta ulkoiselle isännälle lähetetään uhrin järjestelmän URL-osoite ja valikoima tietoja ympäristöstä, kuten tallennettuja salasanoja DBMS- ja pilvipalveluille. Yritykset ladata skriptejä kryptovaluutan louhintaan tallennettiin käyttämällä edellä mainittua haittakoodia.

Tutkittuaan haittakoodia se oli paljastuiettä samanlaisia ​​muutoksia tapahtuu 10 pakettia Ruby Gemsissä, joita ei vangittu, mutta hyökkääjät ovat erityisesti valmistaneet muiden samannimististen suosittujen kirjastojen perusteella, joissa viiva korvattiin alaviivalla tai päinvastoin (esim. cron-parser haitallinen paketti cron_parser luotiin ja perustuu doge_kolikko haitallinen doge-kolikkopaketti). Ongelmapaketit:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• mahtava-bot: 1.18.0
• doge-kolikko: 1.0.2
• capistrano-värit: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_kolikko: 0.0.3
• tulossa pian: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Ensimmäinen haitallinen paketti tästä luettelosta julkaistiin 12. toukokuuta, mutta suurin osa niistä ilmestyi heinäkuussa. Yhteensä näitä paketteja ladattiin noin 2500 kertaa.

Lähde: opennet.ru