باقي ڪلائنٽ ۽ 10 ٻين روبي پيڪيجز ۾ خراب ڪوڊ مليا

هڪ مشهور گيم پيڪيج ۾ آرام ڪندڙمجموعي طور تي 113 ملين ڊائون لوڊ سان، سڃاڻپ بدسلوڪي ڪوڊ جو متبادل (CVE-2019-15224) جيڪو عملدار حڪمن کي ڊائون لوڊ ڪري ٿو ۽ معلومات موڪلي ٿو ٻاهرين ميزبان کي. جي ذريعي حملو ڪيو ويو سمجھوتو ڊولپر اڪائونٽ ريسٽ ڪلائنٽ rubygems.org repository ۾، جنهن کان پوءِ حملي ڪندڙن 13 ۽ 14 آگسٽ تي رليز 1.6.10-1.6.13 شايع ڪيو، جنهن ۾ خراب تبديليون شامل هيون. بدسلوڪي ورزن کي بلاڪ ڪرڻ کان اڳ، اٽڪل هڪ هزار صارفين انهن کي ڊائون لوڊ ڪرڻ ۾ ڪامياب ٿي ويا (حملو ڪندڙن کي پراڻن ورزن تي تازه ڪاري جاري ڪئي ته جيئن ڌيان نه ڏيڻ لاء).

بدسلوڪي تبديلي ڪلاس ۾ "#authenticate" طريقي کي ختم ڪري ٿي
سڃاڻپ، جنهن کان پوءِ هر طريقي ڪال جي نتيجي ۾ اي ميل ۽ پاسورڊ موڪليا ويندا آهن تصديق جي ڪوشش دوران حملي ڪندڙن جي ميزبان ڏانهن موڪليا ويندا آهن. هن طريقي سان، سروس استعمال ڪندڙن جي لاگ ان پيرا ميٽرز کي استعمال ڪندي سڃاڻپ ڪلاس استعمال ڪندي ۽ باقي ڪلائنٽ لائبريري جي هڪ ڪمزور ورزن کي انسٽال ڪري رهيا آهن، جيڪي فيچر ڪيترن ئي مشهور روبي پيڪيجز ۾ انحصار جي طور تي، بشمول ast (64 ملين ڊائون لوڊ)، اوٿ (32 ملين)، فاسٽ لين (18 ملين)، ۽ ڪبي ڪلينٽ (3.7 ملين).

ان کان علاوه، ڪوڊ ۾ هڪ پٺتي پيل دروازو شامل ڪيو ويو آهي، جنهن جي اجازت ڏني وئي آهي آربرٽريري روبي ڪوڊ کي ايول فنڪشن ذريعي عمل ڪيو وڃي. ڪوڊ هڪ ڪوڪي ذريعي منتقل ڪيو ويو آهي جيڪو حملي ڪندڙ جي چيڪ طرفان تصديق ٿيل آهي. حملي ڪندڙن کي هڪ خارجي ميزبان تي بدسلوڪي پيڪيج جي تنصيب بابت آگاهي ڏيڻ لاءِ، مقتول جي سسٽم جو URL ۽ ماحول بابت معلومات جي چونڊ، جهڙوڪ DBMS ۽ ڪلائوڊ سروسز لاءِ محفوظ ڪيل پاسورڊ، موڪليا ويا آهن. cryptocurrency کان کني لاءِ اسڪرپٽ ڊائون لوڊ ڪرڻ جي ڪوشش مٿي بيان ڪيل بدسلوڪي ڪوڊ استعمال ڪندي رڪارڊ ڪئي وئي.

بدسلوڪي ڪوڊ جي مطالعي کان پوء اهو هو پڌروجنهن ۾ اهڙيون تبديليون موجود آهن 10 پيڪيجز Ruby Gems ۾، جن تي قبضو نه ڪيو ويو، پر خاص طور تي حملي ڪندڙن پاران تيار ڪيل ٻين مشهور لائبريرين جي بنياد تي ساڳئي نالن سان، جنهن ۾ ڊيش کي انڊر اسڪور سان تبديل ڪيو ويو يا ان جي برعڪس (مثال طور، بنياد تي. cron-parser هڪ خراب پيڪيج cron_parser ٺاهيو ويو، ۽ ان جي بنياد تي doge_coin doge-coin خراب پيڪيج). مسئلا پيڪيجز:

• coin_base: 4.2.2، 4.2.1
• blockchain_wallet: 0.0.6، 0.0.7
• شاندار بوٽ: 1.18.0
• ڪتي جو سڪو: 1.0.2
• capistrano رنگ: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• جلد اچي رهيو آهي: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12 ، 1.0.13 ، 0.1.4

هن لسٽ مان پهريون بدسلوڪي پيڪيج 12 مئي تي پوسٽ ڪيو ويو، پر انهن مان گهڻا جولاء ۾ ظاهر ٿيا. مجموعي طور تي، اهي پيڪيجز تقريبا 2500 ڀيرا ڊائون لوڊ ڪيا ويا.

جو ذريعو: opennet.ru