Վնասակար կոդ է հայտնաբերվել rest-client-ում և 10 այլ Ruby փաթեթներում

Հանրաճանաչ ադամանդների փաթեթում հանգիստ-հաճախորդ, ընդհանուր 113 միլիոն ներբեռնումներով, բացահայտված Վնասակար կոդի փոխարինում (CVE-2019-15224), որը ներբեռնում է գործարկվող հրամանները և տեղեկատվություն է ուղարկում արտաքին հոսթին: Հարձակումն իրականացվել է միջոցով փոխզիջում մշակողի հաշվի rest-client-ը rubygems.org պահոցում, որից հետո հարձակվողները օգոստոսի 13-ին և 14-ին հրապարակեցին 1.6.10-1.6.13 թողարկումները, որոնք ներառում էին վնասակար փոփոխություններ: Մինչ վնասակար տարբերակների արգելափակումը, մոտ հազար օգտատեր կարողացավ ներբեռնել դրանք (հարձակվողները թողարկել էին ավելի հին տարբերակների թարմացումները՝ ուշադրություն չգրավելու համար)։

Վնասակար փոփոխությունը վերացնում է «#authenticate» մեթոդը դասում
Ինքնությունը, որից հետո յուրաքանչյուր մեթոդի զանգի արդյունքում նույնականացման փորձի ժամանակ ուղարկված էլ. փոստը և գաղտնաբառը ուղարկվում են հարձակվողների հոսթին: Այս կերպ գաղտնալսվում են Identity դասը օգտագործող և rest-client գրադարանի խոցելի տարբերակը տեղադրող ծառայության օգտագործողների մուտքի պարամետրերը, որոնք հատկանշված որպես կախվածություն շատ հայտնի Ruby փաթեթներում, ներառյալ ast (64 միլիոն ներբեռնումներ), oauth (32 միլիոն), fastlane (18 միլիոն) և kubeclient (3.7 միլիոն):

Բացի այդ, կոդի մեջ ավելացվել է հետնադուռ, որը թույլ է տալիս կամայական Ruby կոդը կատարել eval ֆունկցիայի միջոցով: Կոդը փոխանցվում է հարձակվողի բանալիով վավերացված Cookie-ի միջոցով: Հարձակվողներին արտաքին հոսթի վրա վնասակար փաթեթի տեղադրման մասին տեղեկացնելու համար ուղարկվում են զոհի համակարգի URL-ը և շրջակա միջավայրի մասին տեղեկությունների ընտրանին, ինչպիսիք են DBMS-ի և ամպային ծառայությունների համար պահպանված գաղտնաբառերը: Կրիպտոարժույթների մայնինգի համար սկրիպտներ ներբեռնելու փորձերը գրանցվել են վերը նշված վնասակար կոդի միջոցով:

Վնասակար կոդը ուսումնասիրելուց հետո դա եղել է բացահայտվել էոր նմանատիպ փոփոխություններ կան 10 փաթեթ Ruby Gems-ում, որոնք չեն գրավվել, բայց հատուկ պատրաստվել են հարձակվողների կողմից՝ հիմնվելով նմանատիպ անուններով այլ հանրաճանաչ գրադարանների վրա, որոնցում գծիկը փոխարինվել է ընդգծված կամ հակառակը (օրինակ՝ հիմնվելով. cron-վերլուծիչ ստեղծվել է cron_parser վնասակար փաթեթ և հիմնվելով doge_coin չարամիտ doge-coin փաթեթ): Խնդրի փաթեթներ.

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-գույներ: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• շուտով: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser1.0.12, 1.0.13, 0.1.4 թվականներին

Այս ցուցակից առաջին վնասակար փաթեթը տեղադրվել է մայիսի 12-ին, սակայն դրանց մեծ մասը հայտնվել է հուլիսին։ Ընդհանուր առմամբ, այս փաթեթները ներբեռնվել են մոտ 2500 անգամ։

Source: opennet.ru