रेस्ट-क्लायंट आणि 10 इतर रुबी पॅकेजेसमध्ये दुर्भावनायुक्त कोड आढळला

लोकप्रिय रत्न पॅकेजमध्ये विश्रांतीचा ग्राहक, एकूण 113 दशलक्ष डाउनलोडसह, ओळखले दुर्भावनायुक्त कोड (CVE-2019-15224) बदलणे जे एक्झिक्युटेबल कमांड डाउनलोड करते आणि बाह्य होस्टला माहिती पाठवते. च्या माध्यमातून हा हल्ला करण्यात आला तडजोड rubygems.org रेपॉजिटरीमध्ये विकसक खाते विश्रांती-क्लायंट, ज्यानंतर आक्रमणकर्त्यांनी 13 आणि 14 ऑगस्ट रोजी 1.6.10-1.6.13 प्रकाशन प्रकाशित केले, ज्यामध्ये दुर्भावनापूर्ण बदल समाविष्ट आहेत. दुर्भावनापूर्ण आवृत्त्या अवरोधित करण्यापूर्वी, सुमारे एक हजार वापरकर्त्यांनी त्यांना डाउनलोड करण्यात व्यवस्थापित केले (लक्ष वेधण्यासाठी हल्लेखोरांनी जुन्या आवृत्त्यांसाठी अद्यतने जारी केली).

दुर्भावनापूर्ण बदल वर्गातील "#authenticate" पद्धत ओव्हरराइड करते
ओळख, ज्यानंतर प्रत्येक मेथड कॉलचा परिणाम आक्रमणकर्त्यांच्या होस्टला पाठवल्या जाणाऱ्या प्रमाणीकरणाच्या प्रयत्नादरम्यान पाठवलेला ईमेल आणि पासवर्डमध्ये होतो. अशा प्रकारे, आयडेंटिटी क्लास वापरून सेवा वापरकर्त्यांचे लॉगिन पॅरामीटर्स आणि उर्वरित-क्लायंट लायब्ररीची असुरक्षित आवृत्ती स्थापित केली जाते, जे वैशिष्ट्यपूर्ण ast (64 दशलक्ष डाउनलोड), oauth (32 दशलक्ष), फास्टलेन (18 दशलक्ष), आणि kubeclient (3.7 दशलक्ष) यासह अनेक लोकप्रिय रुबी पॅकेजेसमध्ये अवलंबित्व म्हणून.

याव्यतिरिक्त, कोडमध्ये एक बॅकडोअर जोडला गेला आहे, ज्यामुळे अनियंत्रित रुबी कोड eval फंक्शनद्वारे अंमलात आणला जाऊ शकतो. कोड आक्रमणकर्त्याच्या कीद्वारे प्रमाणित केलेल्या कुकीद्वारे प्रसारित केला जातो. आक्रमणकर्त्यांना बाह्य होस्टवर दुर्भावनापूर्ण पॅकेजच्या स्थापनेबद्दल माहिती देण्यासाठी, पीडिताच्या सिस्टमची URL आणि पर्यावरणाबद्दल माहितीची निवड, जसे की DBMS आणि क्लाउड सेवांसाठी जतन केलेले पासवर्ड पाठवले जातात. वर नमूद केलेल्या दुर्भावनापूर्ण कोडचा वापर करून क्रिप्टोकरन्सी मायनिंगसाठी स्क्रिप्ट डाउनलोड करण्याचा प्रयत्न रेकॉर्ड केला गेला.

दुर्भावनायुक्त कोडचा अभ्यास केल्यानंतर तो होता प्रकटमध्ये समान बदल उपस्थित आहेत 10 पॅकेजेस रुबी जेम्समध्ये, जे पकडले गेले नव्हते, परंतु समान नावांच्या इतर लोकप्रिय लायब्ररींवर आधारित आक्रमणकर्त्यांनी खास तयार केले होते, ज्यामध्ये डॅश अंडरस्कोरने बदलला होता किंवा उलट (उदाहरणार्थ, यावर आधारित क्रॉन-पार्सर एक दुर्भावनापूर्ण पॅकेज cron_parser तयार केले, आणि त्यावर आधारित doge_coin doge-coin दुर्भावनापूर्ण पॅकेज). समस्या पॅकेजेस:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• छान-बॉट: 1.18.0
• doge-नाणे: 1.0.2
• capistrano-रंग: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• येत आहे-लवकरच: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: ३३, ४५, ७८

या यादीतील पहिले दुर्भावनापूर्ण पॅकेज 12 मे रोजी पोस्ट केले गेले होते, परंतु त्यापैकी बहुतेक जुलैमध्ये दिसून आले. एकूण, ही पॅकेजेस सुमारे 2500 वेळा डाउनलोड केली गेली.

स्त्रोत: opennet.ru