Злонамерни код је откривен у рест-цлиент и 10 других Руби пакета

У популарном паковању драгуља одмор-клијент, са укупно 113 милиона преузимања, идентификован Замена злонамерног кода (ЦВЕ-2019-15224) који преузима извршне команде и шаље информације спољном хосту. Напад је изведен кроз компромис девелопер аццоунт рест-цлиент у спремишту рубигемс.орг, након чега су нападачи објавили издања 13-14 1.6.10. и 1.6.13. августа, која су укључивала злонамерне измене. Пре него што су злонамерне верзије блокиране, око хиљаду корисника је успело да их преузме (нападачи су пустили ажурирање старијих верзија како не би привукли пажњу).

Злонамерна промена замењује методу „#аутхентицате“ у класи
Идентитет, након чега сваки позив методе доводи до тога да се е-пошта и лозинка послата током покушаја аутентификације шаљу домаћину нападача. На овај начин се пресрећу параметри за пријаву корисника услуге који користе класу Идентити и инсталирају рањиву верзију библиотеке рест-цлиент, што појављује се као зависност у многим популарним Руби пакетима, укључујући аст (64 милиона преузимања), оаутх (32 милиона), фастлане (18 милиона) и кубецлиент (3.7 милиона).

Поред тога, коду је додат бацкдоор који омогућава извршавање произвољног Руби кода преко функције евал. Код се преноси путем колачића који је сертификован од стране нападачевог кључа. Да би се нападачи обавестили о инсталацији злонамерног пакета на спољни хост, шаље се УРЛ система жртве и избор информација о окружењу, као што су сачуване лозинке за ДБМС и услуге у облаку. Покушаји преузимања скрипти за рударење криптовалута забележени су коришћењем горе поменутог злонамерног кода.

Након проучавања злонамерног кода било је откриода су сличне промене присутне у 10 пакета у Руби Гемс, који нису ухваћени, али су их нападачи посебно припремили на основу других популарних библиотека са сличним називима, у којима је цртица замењена доњом цртом или обрнуто (на пример, на основу црон-парсер креиран је злонамерни пакет црон_парсер, који је заснован на доге_цоин злонамерни пакет доге-цоин). Проблемски пакети:

• цоин_басе: КСНУМКС, КСНУМКС
• блоцкцхаин_валлет: КСНУМКС, КСНУМКС
• авесоме-бот: КСНУМКС
• дужд-кованица: КСНУМКС
• цапистрано-боје: КСНУМКС
• битцоин_ванити: КСНУМКС
• лита_цоин: КСНУМКС
• долази ускоро: КСНУМКС
• омниаутх_амазон: КСНУМКС
• црон_парсер: 1.0.12, 1.0.13, 0.1.4

Први злонамерни пакет са ове листе постављен је 12. маја, али се већина њих појавила у јулу. Укупно, ови пакети су преузети око 2500 пута.

Извор: опеннет.ру