人気の逸品パッケージに 、合計 113 億 XNUMX 万ダウンロードされ、 実行可能コマンドをダウンロードし、外部ホストに情報を送信する悪意のあるコード (CVE-2019-15224) の置き換え。 攻撃は次の方法で実行されました。 開発者アカウントrest-clientをrubygems.orgリポジトリに追加し、その後、攻撃者は13月14日と1.6.10日に悪意のある変更を含むリリース1.6.13~XNUMXを公開しました。 悪意のあるバージョンがブロックされる前に、約 XNUMX 人のユーザーがそれらのバージョンをダウンロードすることに成功しました (攻撃者は注目を集めないように古いバージョンのアップデートをリリースしました)。
悪意のある変更により、クラス内の「#authenticate」メソッドがオーバーライドされます。
ID。その後、各メソッド呼び出しにより、認証試行中に電子メールとパスワードが攻撃者のホストに送信されます。 このようにして、Identity クラスを使用し、残りのクライアント ライブラリの脆弱なバージョンをインストールしているサービス ユーザーのログイン パラメータが傍受されます。 ast (64 万ダウンロード)、oauth (32 万)、fastlane (18 万)、kubeclient (3.7 万) など、多くの人気のある Ruby パッケージの依存関係として含まれています。
さらに、コードにバックドアが追加されており、eval 関数を介して任意の Ruby コードを実行できるようになります。 コードは、攻撃者のキーによって認証された Cookie を介して送信されます。 外部ホストへの悪意のあるパッケージのインストールについて攻撃者に通知するために、被害者のシステムの URL と、DBMS やクラウド サービスの保存されたパスワードなどの環境に関する情報の選択が送信されます。 暗号通貨マイニング用のスクリプトをダウンロードする試みは、上記の悪意のあるコードを使用して記録されました。
悪意のあるコードを調査した結果、 同様の変化が存在すること Ruby Gems ではキャプチャされませんでしたが、同様の名前を持つ他の一般的なライブラリに基づいて攻撃者によって特別に準備され、ダッシュがアンダースコアに、またはその逆に置き換えられました (たとえば、 悪意のあるパッケージ cron_parser が作成され、それに基づいて doge-coin 悪意のあるパッケージ)。 問題のあるパッケージ:
- :4.2.2、4.2.1
- :0.0.6、0.0.7
- :007
- :007
- :007
- :007
- :007
- :007
- :007
- :1.0.12、1.0.13、0.1.4
このリストの最初の悪意のあるパッケージは 12 月 2500 日に投稿されましたが、そのほとんどは XNUMX 月に出現しました。 これらのパッケージは合計で約 XNUMX 回ダウンロードされました。
出所: オープンネット.ru