ஓய்வு-கிளையண்ட் மற்றும் 10 பிற ரூபி தொகுப்புகளில் தீங்கிழைக்கும் குறியீடு கண்டறியப்பட்டது

பிரபலமான ரத்தின தொகுப்பில் ஓய்வு-வாடிக்கையாளர், மொத்தம் 113 மில்லியன் பதிவிறக்கங்களுடன், அடையாளம் காணப்பட்டது தீங்கிழைக்கும் குறியீட்டின் மாற்றீடு (CVE-2019-15224), இது இயங்கக்கூடிய கட்டளைகளைப் பதிவிறக்குகிறது மற்றும் வெளிப்புற ஹோஸ்டுக்கு தகவலை அனுப்புகிறது. மூலம் தாக்குதல் நடத்தப்பட்டது சமரசம் rubygems.org களஞ்சியத்தில் டெவலப்பர் கணக்கு ஓய்வு-கிளையண்ட், அதன் பிறகு தாக்குபவர்கள் 13-14 வெளியீடுகளை ஆகஸ்ட் 1.6.10 மற்றும் 1.6.13 அன்று வெளியிட்டனர், இதில் தீங்கிழைக்கும் மாற்றங்கள் அடங்கும். தீங்கிழைக்கும் பதிப்புகள் தடுக்கப்படுவதற்கு முன்பு, சுமார் ஆயிரம் பயனர்கள் அவற்றைப் பதிவிறக்க முடிந்தது (தாக்குபவர்கள் கவனத்தை ஈர்க்காத வகையில் பழைய பதிப்புகளுக்கு புதுப்பிப்புகளை வெளியிட்டனர்).

தீங்கிழைக்கும் மாற்றம் வகுப்பில் உள்ள "# அங்கீகாரம்" முறையை மீறுகிறது
அடையாளம், ஒவ்வொரு முறை அழைப்பின் விளைவாக, அங்கீகார முயற்சியின் போது அனுப்பப்பட்ட மின்னஞ்சல் மற்றும் கடவுச்சொல் தாக்குபவர்களின் ஹோஸ்டுக்கு அனுப்பப்படும். இந்த வழியில், அடையாள வகுப்பைப் பயன்படுத்தும் சேவை பயனர்களின் உள்நுழைவு அளவுருக்கள் மற்றும் ஓய்வு-கிளையன்ட் நூலகத்தின் பாதிக்கப்படக்கூடிய பதிப்பை நிறுவுதல் ஆகியவை இடைமறிக்கப்படுகின்றன. சிறப்பு ast (64 மில்லியன் பதிவிறக்கங்கள்), உறுதிமொழி (32 மில்லியன்), ஃபாஸ்ட்லேன் (18 மில்லியன்) மற்றும் க்யூபெக்ளைன்ட் (3.7 மில்லியன்) உட்பட பல பிரபலமான ரூபி தொகுப்புகளில் ஒரு சார்பு.

கூடுதலாக, ஒரு பின்கதவு குறியீட்டில் சேர்க்கப்பட்டுள்ளது, இது தன்னிச்சையான ரூபி குறியீட்டை eval செயல்பாடு வழியாக செயல்படுத்த அனுமதிக்கிறது. தாக்குபவர்களின் விசையால் சான்றளிக்கப்பட்ட குக்கீ மூலம் குறியீடு அனுப்பப்படுகிறது. வெளிப்புற ஹோஸ்டில் தீங்கிழைக்கும் தொகுப்பை நிறுவுவது பற்றி தாக்குபவர்களுக்குத் தெரிவிக்க, பாதிக்கப்பட்டவரின் அமைப்பின் URL மற்றும் DBMS மற்றும் கிளவுட் சேவைகளுக்கான சேமிக்கப்பட்ட கடவுச்சொற்கள் போன்ற சுற்றுச்சூழல் பற்றிய தகவல்களின் தேர்வு அனுப்பப்படும். கிரிப்டோகரன்சி மைனிங்கிற்கான ஸ்கிரிப்ட்களைப் பதிவிறக்கும் முயற்சிகள் மேலே குறிப்பிட்ட தீங்கிழைக்கும் குறியீட்டைப் பயன்படுத்தி பதிவுசெய்யப்பட்டன.

தீங்கிழைக்கும் குறியீட்டைப் படித்த பிறகு அது இருந்தது வெளிப்படுத்தப்பட்டதுஇதே போன்ற மாற்றங்கள் உள்ளன 10 தொகுப்புகள் ரூபி ஜெம்ஸில், அவை கைப்பற்றப்படவில்லை, ஆனால் இதே போன்ற பெயர்களைக் கொண்ட பிற பிரபலமான நூலகங்களின் அடிப்படையில் தாக்குபவர்களால் சிறப்பாக தயாரிக்கப்பட்டன, இதில் கோடு அடிக்கோடிடுதல் அல்லது நேர்மாறாக மாற்றப்பட்டது (எடுத்துக்காட்டாக, அடிப்படையில் கிரான்-பாகுபடுத்தி ஒரு தீங்கிழைக்கும் தொகுப்பு cron_parser உருவாக்கப்பட்டது, அதன் அடிப்படையில் நாய்_நாணயம் doge-coin தீங்கிழைக்கும் தொகுப்பு). சிக்கல் தொகுப்புகள்:

• நாணய_அடிப்படை: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• அற்புதமான-போட்: 1.18.0
• நாய் நாணயம்: 1.0.2
• capistrano-வண்ணங்கள்: 0.5.5
• bitcoin_vanity: 4.3.3
• லிட்டா_நாணயம்: 0.0.3
• விரைவில்: 0.2.8
• omniauth_amazon: 1.0.1
• கிரான்_பார்சர்: 1.0.12, 1.0.13, 0.1.4

இந்த பட்டியலிலிருந்து முதல் தீங்கிழைக்கும் தொகுப்பு மே 12 அன்று வெளியிடப்பட்டது, ஆனால் அவற்றில் பெரும்பாலானவை ஜூலையில் தோன்றின. மொத்தத்தில், இந்த தொகுப்புகள் சுமார் 2500 முறை பதிவிறக்கம் செய்யப்பட்டன.

ஆதாரம்: opennet.ru