Skadelig kode oppdaget i rest-client og 10 andre Ruby-pakker

I en populær perlepakke hvile-klient, med totalt 113 millioner nedlastinger, identifisert Erstatning av ondsinnet kode (CVE-2019-15224) som laster ned kjørbare kommandoer og sender informasjon til en ekstern vert. Angrepet ble utført gjennom kompromiss utviklerkonto rest-client i rubygems.org-depotet, hvoretter angriperne publiserte utgivelser 13-14 1.6.10. og 1.6.13. august, som inkluderte ondsinnede endringer. Før de ondsinnede versjonene ble blokkert, klarte rundt tusen brukere å laste dem ned (angriperne ga ut oppdateringer til eldre versjoner for ikke å tiltrekke seg oppmerksomhet).

Den ondsinnede endringen overstyrer "#authenticate"-metoden i klassen
Identitet, hvoretter hvert metodeanrop resulterer i at e-post og passord sendt under autentiseringsforsøket sendes til angripernes vert. På denne måten blir påloggingsparametrene til tjenestebrukere som bruker Identity-klassen og installerer en sårbar versjon av rest-client-biblioteket fanget opp, som omtalt som en avhengighet i mange populære Ruby-pakker, inkludert ast (64 millioner nedlastinger), oauth (32 millioner), fastlane (18 millioner) og kubeclient (3.7 millioner).

I tillegg er det lagt til en bakdør i koden, slik at vilkårlig Ruby-kode kan utføres via eval-funksjonen. Koden overføres via en informasjonskapsel sertifisert av angriperens nøkkel. For å informere angripere om installasjon av en ondsinnet pakke på en ekstern vert, sendes URL-en til offerets system og et utvalg informasjon om miljøet, for eksempel lagrede passord for DBMS og skytjenester. Forsøk på å laste ned skript for gruvedrift av kryptovaluta ble registrert ved å bruke den ovennevnte ondsinnede koden.

Etter å ha studert den ondsinnede koden var det avslørtat lignende endringer er tilstede i 10 pakker i Ruby Gems, som ikke ble tatt til fange, men ble spesielt forberedt av angripere basert på andre populære biblioteker med lignende navn, der bindestreken ble erstattet med en understrek eller omvendt (for eksempel basert på cron-parser en ondsinnet pakke cron_parser ble opprettet, og basert på doge_coin ondsinnet doge-mynt-pakke). Problempakker:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• fantastisk-bot: 1.18.0
• doge-mynt: 1.0.2
• capistrano-farger: 0.5.5
• bitcoin_forfengelighet: 4.3.3
• lita_coin: 0.0.3
• kommer snart: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Den første ondsinnede pakken fra denne listen ble lagt ut 12. mai, men de fleste av dem dukket opp i juli. Totalt ble disse pakkene lastet ned ca. 2500 ganger.

Kilde: opennet.ru