Škodlivý kód zistený v klientskom počítači a 10 ďalších balíkoch Ruby

V obľúbenom balení drahokamov rest-klient, s celkovým počtom 113 miliónov stiahnutí, identifikované Náhrada škodlivého kódu (CVE-2019-15224), ktorý sťahuje spustiteľné príkazy a odosiela informácie externému hostiteľovi. Útok bol vykonaný cez kompromis vývojársky účet rest-client v repozitári rubygems.org, po ktorom útočníci 13. a 14. augusta zverejnili vydania 1.6.10-1.6.13, ktoré obsahovali škodlivé zmeny. Pred zablokovaním škodlivých verzií sa ich podarilo stiahnuť asi tisícke používateľov (útočníci vydali aktualizácie starších verzií, aby nevzbudzovali pozornosť).

Škodlivá zmena prepíše metódu "#authenticate" v triede
Identita, po ktorej každé volanie metódy má za následok odoslanie e-mailu a hesla odoslaného počas pokusu o overenie hostiteľovi útočníkov. Týmto spôsobom sú zachytené prihlasovacie parametre používateľov služby, ktorí používajú triedu Identity a inštalujú zraniteľnú verziu knižnice zvyšku klienta, ktorá predstavoval ako závislosť v mnohých populárnych balíkoch Ruby, vrátane ast (64 miliónov stiahnutí), oauth (32 miliónov), fastlane (18 miliónov) a kubeclient (3.7 milióna).

Okrem toho boli do kódu pridané zadné vrátka, ktoré umožňujú spustiť ľubovoľný Ruby kód prostredníctvom funkcie eval. Kód sa prenáša prostredníctvom súboru cookie certifikovaného kľúčom útočníka. Na informovanie útočníkov o inštalácii škodlivého balíka na externom hostiteľovi sa odošle adresa URL systému obete a výber informácií o prostredí, ako sú uložené heslá pre DBMS a cloudové služby. Pokusy o stiahnutie skriptov na ťažbu kryptomien boli zaznamenané pomocou vyššie uvedeného škodlivého kódu.

Po preštudovaní škodlivého kódu bolo identifikovanéže podobné zmeny sú prítomné v 10 balení v Ruby Gems, ktoré neboli zachytené, ale boli útočníkmi špeciálne pripravené na základe iných populárnych knižníc s podobnými názvami, v ktorých bola pomlčka nahradená podčiarkovníkom alebo naopak (napr. cron-parser bol vytvorený škodlivý balík cron_parser a je založený na doge_coin škodlivý balík doge-coin). Problémové balíčky:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• úžasný robot: 1.18.0
• doge-coin: 1.0.2
• capistrano-farby: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• už čoskoro: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Prvý škodlivý balík z tohto zoznamu bol zverejnený 12. mája, no väčšina z nich sa objavila v júli. Celkovo boli tieto balíčky stiahnuté asi 2500-krát.

Zdroj: opennet.ru