Detectouse código malicioso en rest-client e noutros 10 paquetes Ruby

Nun paquete de xoias populares descanso-cliente, cun total de 113 millóns de descargas, identificado Substitución de código malicioso (CVE-2019-15224) que descarga comandos executables e envía información a un host externo. O ataque levouse a cabo compromiso conta de desenvolvedor rest-client no repositorio rubygems.org, despois de que os atacantes publicaron as versións 13-14 os días 1.6.10 e 1.6.13 de agosto, que incluían cambios maliciosos. Antes de bloquear as versións maliciosas, uns mil usuarios conseguiron descargalas (os atacantes lanzaron actualizacións de versións máis antigas para non chamar a atención).

O cambio malicioso anula o método "#authenticate" na clase
Identidade, despois de que cada chamada de método ten como resultado o correo electrónico e o contrasinal enviados durante o intento de autenticación ao host dos atacantes. Deste xeito, intercéptanse os parámetros de inicio de sesión dos usuarios do servizo que usan a clase Identity e instalan unha versión vulnerable da biblioteca resto-cliente, o que destacado como dependencia en moitos paquetes Ruby populares, incluíndo ast (64 millóns de descargas), oauth (32 millóns), fastlane (18 millóns) e kubeclient (3.7 millóns).

Ademais, engadiuse unha porta traseira ao código, o que permite executar código Ruby arbitrario mediante a función eval. O código transmítese mediante unha Cookie certificada pola clave do atacante. Para informar aos atacantes sobre a instalación dun paquete malicioso nun host externo, envíase o URL do sistema da vítima e unha selección de información sobre o ambiente, como contrasinais gardados para o DBMS e os servizos na nube. Os intentos de descargar scripts para a minería de criptomonedas rexistráronse mediante o código malicioso mencionado anteriormente.

Despois de estudar o código malicioso foi reveladoque se producen cambios similares 10 paquetes en Ruby Gems, que non foron capturados, pero foron especialmente preparados por atacantes baseándose noutras bibliotecas populares con nomes similares, nas que o guión foi substituído por un guión baixo ou viceversa (por exemplo, baseándose en cron-analizador creouse un paquete malicioso cron_parser e baseouse en moeda_dux paquete malicioso doge-coin). Paquetes de problemas:

• base_de_moedas: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• fantástico-bot: 1.18.0
• moeda-dux: 1.0.2
• capistrano-cores: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• proximamente: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

O primeiro paquete malicioso desta lista publicouse o 12 de maio, pero a maioría deles apareceron en xullo. En total, estes paquetes descargáronse unhas 2500 veces.

Fonte: opennet.ru