Skadlig kod upptäckts i rest-client och 10 andra Ruby-paket

I ett populärt ädelstenspaket vila-klient, med totalt 113 miljoner nedladdningar, identifieras Ersättning av skadlig kod (CVE-2019-15224) som laddar ner körbara kommandon och skickar information till en extern värd. Attacken genomfördes genom kompromiss utvecklarkonto rest-client i rubygems.org repository, varefter angriparna publicerade utgåvor 13-14 den 1.6.10 och 1.6.13 augusti, som inkluderade skadliga ändringar. Innan de skadliga versionerna blockerades lyckades cirka tusen användare ladda ner dem (angriparna släppte uppdateringar till äldre versioner för att inte väcka uppmärksamhet).

Den skadliga ändringen åsidosätter "#authenticate"-metoden i klassen
Identitet, varefter varje metodanrop resulterar i att e-post och lösenord som skickas under autentiseringsförsöket skickas till angriparnas värd. På så sätt avlyssnas inloggningsparametrarna för tjänstanvändare som använder Identity-klassen och installerar en sårbar version av rest-client-biblioteket, vilket presenterade som ett beroende i många populära Ruby-paket, inklusive ast (64 miljoner nedladdningar), oauth (32 miljoner), fastlane (18 miljoner) och kubeclient (3.7 miljoner).

Dessutom har en bakdörr lagts till i koden, vilket gör att godtycklig Ruby-kod kan exekveras via eval-funktionen. Koden överförs via en cookie certifierad av angriparens nyckel. För att informera angripare om installationen av ett skadligt paket på en extern värd skickas URL:en till offrets system och ett urval av information om miljön, såsom sparade lösenord för DBMS och molntjänster. Försök att ladda ner skript för brytning av kryptovalutor registrerades med den ovan nämnda skadliga koden.

Efter att ha studerat den skadliga koden var det avslöjatatt liknande förändringar finns i 10 paket i Ruby Gems, som inte fångades, utan var speciellt förberedda av angripare baserat på andra populära bibliotek med liknande namn, där bindestrecket ersattes med ett understreck eller vice versa (till exempel baserat på cron-parser ett skadligt paket cron_parser skapades, och baserat på doge_coin doge-coin skadligt paket). Problempaket:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• fantastisk-bot: 1.18.0
• doge-mynt: 1.0.2
• capistrano-färger: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_mynt: 0.0.3
• kommer snart: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Det första skadliga paketet från den här listan publicerades den 12 maj, men de flesta av dem dök upp i juli. Totalt laddades dessa paket ner cirka 2500 gånger.

Källa: opennet.ru