အနားယူသုံးစွဲသူနှင့် အခြား Ruby ပက်ကေ့ဂျ် 10 ခုတွင် အန္တရာယ်ရှိသောကုဒ်ကို တွေ့ရှိခဲ့သည်။

လူကြိုက်များသော ကျောက်မျက်အထုပ်တွင် အနားယူပါ။စုစုပေါင်းဒေါင်းလုဒ် 113 သန်းဖြင့်၊ ဖော်ထုတ်ခဲ့သည်။ executable commands များကို ဒေါင်းလုဒ်လုပ်ပြီး ပြင်ပ host သို့ အချက်အလက်ပေးပို့သည့် အန္တရာယ်ရှိသော ကုဒ်ကို အစားထိုးခြင်း (CVE-2019-15224)။ တိုက်ခိုက်မှုကို ဆောင်ရွက်ခဲ့တာ ဖြစ်ပါတယ်။ အပေးအယူ rubygems.org repository အတွင်းရှိ developer အကောင့်မှ rest-client၊ ထို့နောက် တိုက်ခိုက်သူများသည် 13-14 ကို သြဂုတ်လ 1.6.10 နှင့် 1.6.13 ရက်နေ့များတွင် ထုတ်ဝေခဲ့ပြီး၊ ၎င်းတွင် အန္တရာယ်ရှိသော အပြောင်းအလဲများ ပါဝင်သည်။ အန္တရာယ်ရှိသော ဗားရှင်းများကို ပိတ်ဆို့ခြင်းမပြုမီ၊ အသုံးပြုသူ တစ်ထောင်ခန့်သည် ၎င်းတို့ကို ဒေါင်းလုဒ်လုပ်ရန် စီမံနိုင်သည် (တိုက်ခိုက်သူများသည် အာရုံစိုက်မှုမခံရစေရန်အတွက် ဗားရှင်းအဟောင်းများသို့ အပ်ဒိတ်များကို ထုတ်ပြန်ခဲ့သည်)။

အန္တရာယ်ရှိသော ပြောင်းလဲမှုသည် အတန်းရှိ "#authenticate" နည်းလမ်းကို လွှမ်းမိုးသည်။
အထောက်အထား၊ ခေါ်ဆိုမှုတစ်ခုစီသည် တိုက်ခိုက်သူများ၏အိမ်ရှင်ထံသို့ အထောက်အထားစိစစ်ရန် ကြိုးပမ်းစဉ်အတွင်း ပေးပို့သော အီးမေးလ်နှင့် စကားဝှက်ကို ရလဒ်ထွက်ပေါ်စေပြီးနောက် အထောက်အထား။ ဤနည်းအားဖြင့်၊ Identity class ကိုအသုံးပြုပြီး ဝန်ဆောင်မှုအသုံးပြုသူများ၏ login parameters များနှင့် rest-client library ၏ အားနည်းချက်ရှိသော ဗားရှင်းကို ထည့်သွင်းခြင်းအား ကြားဖြတ်ဖြတ်တောက်လိုက်ပါသည်။ ကဗျာ ast (ဒေါင်းလုဒ် 64 သန်း၊ oauth (32 သန်း)၊ fastlane (18 သန်း) နှင့် kubeclient (3.7 သန်း) အပါအဝင် လူကြိုက်များသော Ruby ပက်ကေ့ဂျ်များစွာတွင် မှီခိုနေပါသည်။

ထို့အပြင်၊ eval လုပ်ဆောင်ချက်မှတစ်ဆင့် မတရားသော Ruby ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် backdoor ကုဒ်ကို ထည့်သွင်းထားသည်။ ကုဒ်ကို တိုက်ခိုက်သူ၏သော့ဖြင့် အသိအမှတ်ပြုထားသော Cookie မှတဆင့် ပေးပို့ပါသည်။ ပြင်ပ host တစ်ခုတွင် အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျတစ်ခု တပ်ဆင်ခြင်းနှင့်ပတ်သက်၍ တိုက်ခိုက်သူများအား အသိပေးရန်အတွက်၊ သားကောင်၏စနစ်၏ URL နှင့် DBMS နှင့် cloud ဝန်ဆောင်မှုများအတွက် သိမ်းဆည်းထားသော စကားဝှက်များကဲ့သို့သော ပတ်ဝန်းကျင်ဆိုင်ရာ အချက်အလက်ရွေးချယ်မှုများကို ပေးပို့မည်ဖြစ်သည်။ cryptocurrency တူးဖော်ခြင်းအတွက် scripts များကို ဒေါင်းလုဒ်လုပ်ရန် ကြိုးပမ်းမှုများကို အထက်ဖော်ပြပါ အန္တရာယ်ရှိသောကုဒ်ကို အသုံးပြု၍ မှတ်တမ်းတင်ထားသည်။

အန္တရာယ်ရှိသောကုဒ်ကိုလေ့လာပြီးနောက်၎င်းသည်ဖြစ်ခဲ့သည်။ ထုတ်ဖော်ခဲ့သည်။အလားတူ ပြောင်းလဲမှုများ ရှိနေပါသည်။ 10 အထုပ် ဖမ်းယူမခံရသော Ruby Gems တွင်၊ သို့သော် အလားတူအမည်တူသော အခြားနာမည်ကြီးစာကြည့်တိုက်များကို အခြေခံ၍ တိုက်ခိုက်သူများမှ အထူးပြင်ဆင်ထားသောကြောင့် dash ကို underscore သို့မဟုတ် အပြန်အလှန်အားဖြင့် အစားထိုးခဲ့သည် (ဥပမာ၊ အပေါ်အခြေခံ၍၊ cron-parser အန္တရာယ်ရှိသော ပက်ကေ့ချ် cron_parser ကို ဖန်တီးခဲ့ပြီး၊ ၎င်းအပေါ် အခြေခံထားသည်။ doge_coin doge-coin အန္တရာယ်ရှိသောအထုပ်)။ ပြဿနာအထုပ်များ-

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-အကြွေစေ့: 1.0.2
• capistrano-အရောင်များ: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• မကြာမီလာမည်: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

ဤစာရင်းမှ ပထမဆုံး အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်ကို မေလ ၁၂ ရက်နေ့တွင် ပို့စ်တင်ခဲ့သော်လည်း အများစုမှာ ဇူလိုင်လတွင် ပေါ်လာခဲ့သည်။ စုစုပေါင်း၊ ဤပက်ကေ့ဂျ်များကို အကြိမ် ၂၅၀၀ ခန့် ဒေါင်းလုဒ်လုပ်ခဲ့သည်။

source: opennet.ru