Në një paketë gurësh të njohur , me gjithsej 113 milionë shkarkime, Zëvendësimi i kodit me qëllim të keq (CVE-2019-15224) që shkarkon komanda të ekzekutueshme dhe dërgon informacion në një host të jashtëm. Sulmi është kryer përmes llogaria e zhvilluesit rest-klient në depon e rubygems.org, pas së cilës sulmuesit publikuan versionet 13-14 më 1.6.10 dhe 1.6.13 gusht, të cilat përfshinin ndryshime me qëllim të keq. Para se të bllokoheshin versionet me qëllim të keq, rreth një mijë përdorues arritën t'i shkarkonin ato (sulmuesit lëshuan përditësime në versionet më të vjetra për të mos tërhequr vëmendjen).
Ndryshimi me qëllim të keq anulon metodën "#authenticate" në klasë
Identiteti, pas së cilës çdo thirrje metodë rezulton në dërgimin e emailit dhe fjalëkalimit të dërguar gjatë përpjekjes së vërtetimit te hosti i sulmuesve. Në këtë mënyrë, përgjohen parametrat e hyrjes së përdoruesve të shërbimit që përdorin klasën Identity dhe instalojnë një version vulnerabël të bibliotekës së klientit të mbetur, i cili si një varësi në shumë paketa të njohura Ruby, duke përfshirë ast (64 milion shkarkime), oauth (32 milion), fastlane (18 milion) dhe kubeclient (3.7 milion).
Për më tepër, kodit i është shtuar një derë e pasme, duke lejuar që kodi arbitrar Ruby të ekzekutohet nëpërmjet funksionit eval. Kodi transmetohet nëpërmjet një Cookie të certifikuar nga çelësi i sulmuesit. Për të informuar sulmuesit në lidhje me instalimin e një pakete me qëllim të keq në një host të jashtëm, dërgohen URL-ja e sistemit të viktimës dhe një përzgjedhje informacioni rreth mjedisit, si fjalëkalimet e ruajtura për DBMS dhe shërbimet cloud. Përpjekjet për të shkarkuar skriptet për minierat e kriptomonedhave u regjistruan duke përdorur kodin keqdashës të lartpërmendur.
Pas studimit të kodit me qëllim të keq ishte se ndryshime të ngjashme janë të pranishme në në Ruby Gems, të cilat nuk u kapën, por u përgatitën posaçërisht nga sulmuesit bazuar në bibliotekat e tjera të njohura me emra të ngjashëm, në të cilat viza u zëvendësua me një nënvizim ose anasjelltas (për shembull, bazuar në u krijua një paketë me qëllim të keq cron_parser, dhe bazuar në paketë me qëllim të keq doge-coin). Paketat e problemeve:
- : 4.2.2, 4.2.1
- : 0.0.6, 0.0.7
- : 1.18.0
- : 1.0.2
- : 0.5.5
- : 4.3.3
- : 0.0.3
- : 0.2.8
- : 1.0.1
- : 1.0.12, 1.0.13, 0.1.4
Pakoja e parë me qëllim të keq nga kjo listë u postua më 12 maj, por shumica e tyre u shfaqën në korrik. Në total, këto paketa janë shkarkuar rreth 2500 herë.
Burimi: opennet.ru