人気の逸品パッケージに
悪意のある変更により、クラス内の「#authenticate」メソッドがオーバーライドされます。
ID。その後、各メソッド呼び出しにより、認証試行中に電子メールとパスワードが攻撃者のホストに送信されます。 このようにして、Identity クラスを使用し、残りのクライアント ライブラリの脆弱なバージョンをインストールしているサービス ユーザーのログイン パラメータが傍受されます。
さらに、コードにバックドアが追加されており、eval 関数を介して任意の Ruby コードを実行できるようになります。 コードは、攻撃者のキーによって認証された Cookie を介して送信されます。 外部ホストへの悪意のあるパッケージのインストールについて攻撃者に通知するために、被害者のシステムの URL と、DBMS やクラウド サービスの保存されたパスワードなどの環境に関する情報の選択が送信されます。 暗号通貨マイニング用のスクリプトをダウンロードする試みは、上記の悪意のあるコードを使用して記録されました。
悪意のあるコードを調査した結果、
-
コインベース :4.2.2、4.2.1 -
ブロックチェーンウォレット :0.0.6、0.0.7 -
素晴らしいボット :007 -
ドージコイン :007 -
キャピストラーノカラー :007 -
ビットコインバニティ :007 -
リタコイン :007 -
近日公開 :007 -
オムニ認証_アマゾン :007 -
cron_parser :1.0.12、1.0.13、0.1.4
このリストの最初の悪意のあるパッケージは 12 月 2500 日に投稿されましたが、そのほとんどは XNUMX 月に出現しました。 これらのパッケージは合計で約 XNUMX 回ダウンロードされました。
出所: オープンネット.ru