Rosszindulatú kódot észleltünk a rest-clientben és 10 másik Ruby-csomagban

Népszerű drágakő csomagban pihenő-kliens, összesen 113 millió letöltéssel, azonosított Kártékony kód (CVE-2019-15224) helyettesítése, amely letölti a végrehajtható parancsokat és információkat küld egy külső gazdagépnek. A támadást keresztül hajtották végre kompromisszum fejlesztői fiók rest-client a rubygems.org tárhelyen, ezt követően a támadók augusztus 13-án és 14-én közzétették az 1.6.10-1.6.13 kiadásokat, amelyek rosszindulatú változtatásokat is tartalmaztak. A rosszindulatú verziók blokkolása előtt körülbelül ezer felhasználónak sikerült letöltenie őket (a támadók frissítéseket adtak ki a régebbi verziókhoz, hogy ne vonják magukra a figyelmet).

A rosszindulatú módosítás felülírja az osztály "#authenticate" metódusát
Identity, amely után minden metódushívás azt eredményezi, hogy a hitelesítési kísérlet során küldött e-mailt és jelszót elküldik a támadók gazdagépének. Így az Identity osztályt használó és a rest-client könyvtár sérülékeny verzióját telepítő szolgáltatást használók bejelentkezési paraméterei elfogódnak, ami kiemelt sok népszerű Ruby-csomag függőségeként, köztük az ast (64 millió letöltés), az oauth (32 millió), a fastlane (18 millió) és a kubeclient (3.7 millió).

Ezenkívül egy hátsó ajtó is hozzáadásra került a kódhoz, amely lehetővé teszi tetszőleges Ruby kód végrehajtását az eval függvényen keresztül. A kód továbbítása a támadó kulcsával hitelesített cookie-n keresztül történik. A támadók tájékoztatása érdekében egy rosszindulatú csomag külső gazdagépen történő telepítéséről a rendszer elküldi az áldozat rendszerének URL-címét, valamint a környezetre vonatkozó információkat, például a DBMS-hez és a felhőszolgáltatásokhoz mentett jelszavakat. A kriptovaluta bányászatához szükséges szkriptek letöltésére tett kísérleteket a fent említett rosszindulatú kód használatával rögzítették.

A rosszindulatú kód tanulmányozása után az volt kiderülthogy hasonló változások vannak jelen 10 csomag a Ruby Gemsben, amelyeket nem fogtak el, hanem speciálisan a támadók készítettek elő más, hasonló nevű népszerű könyvtárak alapján, amelyekben a kötőjelet aláhúzásjellel helyettesítették, vagy fordítva (pl. cron-elemző egy rosszindulatú cron_parser csomag jött létre, és ez alapján doge_coin doge-coin rosszindulatú csomag). Problémacsomagok:

• érme_alap: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• félelmetes-bot: 1.18.0
• dózse-érme: 1.0.2
• capistrano-színek: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• hamarosan: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Az első rosszindulatú csomag erről a listáról május 12-én jelent meg, de a legtöbbjük júliusban jelent meg. Ezeket a csomagokat összesen körülbelül 2500 alkalommal töltötték le.

Forrás: opennet.ru