Zlonamjerni kod otkriven u rest-clientu i 10 drugih Ruby paketa

U popularnom gem paketu rest-client, s ukupno 113 milijuna preuzimanja, identificiran Zamjena zlonamjernog koda (CVE-2019-15224) koji preuzima izvršne naredbe i šalje informacije vanjskom hostu. Napad je izvršen kroz kompromis developer account rest-client u repozitoriju rubygems.org, nakon čega su napadači 13. i 14. kolovoza objavili izdanja 1.6.10-1.6.13 koja su uključivala zlonamjerne izmjene. Prije nego što su zlonamjerne verzije blokirane, oko tisuću korisnika uspjelo ih je preuzeti (napadači su puštali ažuriranja na starije verzije kako ne bi privukli pozornost).

Zlonamjerna promjena poništava metodu "#authenticate" u klasi
Identitet, nakon čega svaki poziv metode rezultira slanjem e-pošte i lozinke tijekom pokušaja autentifikacije hostu napadača. Na taj se način presreću parametri prijave korisnika usluge koji koriste klasu Identity i instaliraju ranjivu verziju biblioteke rest-client, što istaknuta kao ovisnost u mnogim popularnim Ruby paketima, uključujući ast (64 milijuna preuzimanja), oauth (32 milijuna), fastlane (18 milijuna) i kubeclient (3.7 milijuna).

Osim toga, kodu je dodan backdoor koji omogućuje izvršavanje proizvoljnog Ruby koda putem funkcije eval. Kod se prenosi putem kolačića koji je certificiran ključem napadača. Kako bi se napadače obavijestilo o instalaciji zlonamjernog paketa na vanjskom hostu, šalje se URL žrtvinog sustava i odabir informacija o okruženju, kao što su spremljene lozinke za DBMS i usluge u oblaku. Zabilježeni su pokušaji preuzimanja skripti za rudarenje kriptovaluta korištenjem gore navedenog malicioznog koda.

Nakon proučavanja zlonamjernog koda bilo je otkrivenou kojima su prisutne slične promjene 10 paketa u Ruby Gems, koji nisu zarobljeni, već su ih napadači posebno pripremili na temelju drugih popularnih biblioteka sa sličnim nazivima, u kojima je crtica zamijenjena podvlakom ili obrnuto (na primjer, na temelju cron-parser stvoren je maliciozni paket cron_parser, a na temelju doge_coin zlonamjerni paket doge-coin). Problemski paketi:

• baza_kovanica: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• super-bot: 1.18.0
• dužd-kovanica: 1.0.2
• kapistrano-boje: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• dolazi uskoro: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Prvi maliciozni paket s ove liste objavljen je 12. svibnja, no većina ih se pojavila u srpnju. Ukupno su ti paketi preuzeti oko 2500 puta.

Izvor: opennet.ru