Kode berbahaya terdeteksi di rest-client dan 10 paket Ruby lainnya

Dalam paket permata yang populer istirahat-klien, dengan total 113 juta unduhan, diidentifikasi Pergantian kode berbahaya (CVE-2019-15224) yang mengunduh perintah yang dapat dieksekusi dan mengirimkan informasi ke host eksternal. Serangan itu dilakukan melalui kompromi akun pengembang rest-client di repositori rubygems.org, setelah itu penyerang menerbitkan rilis 13-14 pada 1.6.10 dan 1.6.13 Agustus, yang menyertakan perubahan berbahaya. Sebelum versi jahat diblokir, sekitar seribu pengguna berhasil mengunduhnya (penyerang merilis pembaruan ke versi lama agar tidak menarik perhatian).

Perubahan berbahaya ini menggantikan metode "#authenticate" di kelas
Identitas, setelah itu setiap pemanggilan metode menghasilkan email dan kata sandi yang dikirim selama upaya otentikasi dikirim ke host penyerang. Dengan cara ini, parameter login pengguna layanan yang menggunakan kelas Identity dan menginstal versi perpustakaan klien lainnya yang rentan disadap, yang mana unggulan sebagai ketergantungan pada banyak paket Ruby populer, termasuk ast (64 juta unduhan), oauth (32 juta), fastlane (18 juta), dan kubeclient (3.7 juta).

Selain itu, pintu belakang telah ditambahkan ke kode, memungkinkan kode Ruby sewenang-wenang dieksekusi melalui fungsi eval. Kode tersebut dikirimkan melalui Cookie yang disertifikasi oleh kunci penyerang. Untuk memberi tahu penyerang tentang instalasi paket berbahaya pada host eksternal, URL sistem korban dan sejumlah informasi lingkungan, seperti kata sandi yang disimpan untuk DBMS dan layanan cloud, dikirim. Upaya mengunduh skrip untuk penambangan mata uang kripto dicatat menggunakan kode berbahaya yang disebutkan di atas.

Setelah mempelajari kode berbahaya itu teridentifikasibahwa perubahan serupa juga terjadi 10 paket di Ruby Gems, yang tidak ditangkap, tetapi disiapkan secara khusus oleh penyerang berdasarkan perpustakaan populer lainnya dengan nama serupa, yang tanda hubungnya diganti dengan garis bawah atau sebaliknya (misalnya, berdasarkan cron-parser paket berbahaya cron_parser telah dibuat, dan berdasarkan doge_coin paket berbahaya doge-coin). Paket masalah:

• basis_koin: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• bot yang luar biasa: 1.18.0
• koin doge: 1.0.2
• warna capistrano: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• segera akan datang: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Paket berbahaya pertama dari daftar ini diposting pada 12 Mei, namun sebagian besar muncul pada bulan Juli. Secara total, paket-paket ini diunduh sekitar 2500 kali.

Sumber: opennet.ru