Kod hasad dikesan dalam klien rehat dan 10 pakej Ruby lain

Dalam pakej permata yang popular pelanggan rehat, dengan jumlah muat turun sebanyak 113 juta, dikenalpasti Penggantian kod hasad (CVE-2019-15224) yang memuat turun perintah boleh laku dan menghantar maklumat kepada hos luaran. Serangan itu dilakukan melalui kompromi pelanggan rehat akaun pembangun dalam repositori rubygems.org, selepas itu penyerang menerbitkan keluaran 13-14 pada 1.6.10 dan 1.6.13 Ogos, yang termasuk perubahan berniat jahat. Sebelum versi berniat jahat disekat, kira-kira seribu pengguna berjaya memuat turunnya (penyerang mengeluarkan kemas kini kepada versi lama agar tidak menarik perhatian).

Perubahan hasad mengatasi kaedah "#authenticate" dalam kelas
Identiti, selepas itu setiap panggilan kaedah menghasilkan e-mel dan kata laluan yang dihantar semasa percubaan pengesahan dihantar ke hos penyerang. Dengan cara ini, parameter log masuk pengguna perkhidmatan yang menggunakan kelas Identiti dan memasang versi terdedah perpustakaan klien rehat dipintas, yang diketengahkan sebagai pergantungan dalam banyak pakej Ruby yang popular, termasuk ast (64 juta muat turun), oauth (32 juta), fastlane (18 juta) dan kubeclient (3.7 juta).

Selain itu, pintu belakang telah ditambahkan pada kod, membenarkan kod Ruby sewenang-wenangnya dilaksanakan melalui fungsi eval. Kod dihantar melalui Kuki yang diperakui oleh kunci penyerang. Untuk memaklumkan penyerang tentang pemasangan pakej berniat jahat pada hos luaran, URL sistem mangsa dan pilihan maklumat tentang persekitaran, seperti kata laluan yang disimpan untuk DBMS dan perkhidmatan awan, dihantar. Percubaan untuk memuat turun skrip untuk perlombongan mata wang kripto telah direkodkan menggunakan kod hasad yang disebutkan di atas.

Selepas mengkaji kod berniat jahat itu didedahkanbahawa perubahan serupa terdapat dalam 10 pakej dalam Permata Ruby, yang tidak ditangkap, tetapi disediakan khas oleh penyerang berdasarkan perpustakaan popular lain dengan nama yang serupa, di mana tanda sempang telah digantikan dengan garis bawah atau sebaliknya (contohnya, berdasarkan cron-parser pakej berniat jahat cron_parser telah dibuat dan berdasarkan doge_coin pakej jahat doge-coin). Pakej masalah:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• syiling doge: 1.0.2
• warna-warna capistrano: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• akan datang: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Pakej berniat jahat pertama daripada senarai ini telah disiarkan pada 12 Mei, tetapi kebanyakannya muncul pada bulan Julai. Secara keseluruhan, pakej ini telah dimuat turun kira-kira 2500 kali.

Sumber: opennet.ru