🥇ตรวจพบโค้ดที่เป็นอันตรายในส่วนที่เหลือของลูกค้าและแพ็คเกจ Ruby อื่น ๆ อีก 10 แพ็คเกจ

ในแพ็คเกจอัญมณียอดนิยม ส่วนที่เหลือลูกค้าด้วยยอดดาวน์โหลดรวม 113 ล้านครั้ง ระบุ การทดแทนโค้ดที่เป็นอันตราย (CVE-2019-15224) ที่ดาวน์โหลดคำสั่งปฏิบัติการและส่งข้อมูลไปยังโฮสต์ภายนอก การโจมตีดำเนินไปผ่านทาง ประนีประนอม บัญชีนักพัฒนาซอฟต์แวร์ส่วนที่เหลือในพื้นที่เก็บข้อมูล rubygems.org หลังจากนั้นผู้โจมตีได้เผยแพร่รุ่น 13-14 ในวันที่ 1.6.10 และ 1.6.13 สิงหาคมซึ่งรวมถึงการเปลี่ยนแปลงที่เป็นอันตราย ก่อนที่เวอร์ชันที่เป็นอันตรายจะถูกบล็อก ผู้ใช้ประมาณพันคนสามารถดาวน์โหลดเวอร์ชันเหล่านี้ได้ (ผู้โจมตีเผยแพร่การอัปเดตเป็นเวอร์ชันเก่าเพื่อไม่ให้ดึงดูดความสนใจ)

การเปลี่ยนแปลงที่เป็นอันตรายแทนที่เมธอด #authenticate ในคลาส
ข้อมูลระบุตัวตน หลังจากนั้นการเรียกแต่ละวิธีส่งผลให้อีเมลและรหัสผ่านที่ส่งระหว่างความพยายามตรวจสอบสิทธิ์จะถูกส่งไปยังโฮสต์ของผู้โจมตี ด้วยวิธีนี้ พารามิเตอร์การเข้าสู่ระบบของผู้ใช้บริการที่ใช้คลาส Identity และการติดตั้งไลบรารีส่วนที่เหลือในเวอร์ชันที่มีช่องโหว่จะถูกดักจับ ซึ่ง เป็นจุดเด่น เป็นการพึ่งพาในแพ็คเกจ Ruby ยอดนิยมมากมาย รวมถึง ast (ดาวน์โหลด 64 ล้านครั้ง), oauth (32 ล้านครั้ง), fastlane (18 ล้านครั้ง) และ kubeclient (3.7 ล้านครั้ง)

นอกจากนี้ ยังมีการเพิ่มแบ็คดอร์เข้าไปในโค้ด ทำให้สามารถรันโค้ด Ruby ได้ตามใจชอบผ่านฟังก์ชัน eval รหัสจะถูกส่งผ่านคุกกี้ที่ได้รับการรับรองโดยรหัสของผู้โจมตี เพื่อแจ้งให้ผู้โจมตีทราบเกี่ยวกับการติดตั้งแพ็คเกจที่เป็นอันตรายบนโฮสต์ภายนอก URL ของระบบของเหยื่อและข้อมูลเกี่ยวกับสภาพแวดล้อมที่เลือก เช่น รหัสผ่านที่บันทึกไว้สำหรับ DBMS และบริการคลาวด์จะถูกส่งไป ความพยายามในการดาวน์โหลดสคริปต์สำหรับการขุด cryptocurrency ถูกบันทึกโดยใช้โค้ดที่เป็นอันตรายดังกล่าวข้างต้น

หลังจากศึกษาโค้ดที่เป็นอันตรายแล้ว เปิดเผยมีการเปลี่ยนแปลงที่คล้ายกันเกิดขึ้น 10 แพ็คเกจ ใน Ruby Gems ซึ่งไม่ได้ถูกดักจับ แต่ถูกจัดเตรียมเป็นพิเศษโดยผู้โจมตีโดยอิงตามไลบรารียอดนิยมอื่น ๆ ที่มีชื่อคล้ายกัน ซึ่งแทนที่เส้นประด้วยขีดล่างหรือกลับกัน (เช่น ตาม cron-parser cron_parser แพ็คเกจที่เป็นอันตรายถูกสร้างขึ้นและอิงตาม doge_coin แพ็คเกจที่เป็นอันตราย doge-coin) แพ็คเกจปัญหา:

coin_base: 4.2.2, 4.2.1
blockchain_wallet: 0.0.6, 0.0.7
สุดยอดบอท: 1.18.0
doge-เหรียญ: 1.0.2
capistrano-สี: 0.5.5
bitcoin_vanity: 4.3.3
lita_coin: 0.0.3
เร็ว ๆ นี้: 0.2.8
omniauth_amazon: 1.0.1
cron_parser: 1.0.12, 1.0.13, 0.1.4 น

แพ็คเกจที่เป็นอันตรายชุดแรกจากรายการนี้ถูกโพสต์เมื่อวันที่ 12 พฤษภาคม แต่ส่วนใหญ่ปรากฏในเดือนกรกฎาคม โดยรวมแล้วมีการดาวน์โหลดแพ็คเกจเหล่านี้ประมาณ 2500 ครั้ง

ที่มา: opennet.ru

ตรวจพบโค้ดที่เป็นอันตรายใน Rest-Client และแพ็คเกจ Ruby อื่นๆ อีก 10 แพ็คเกจ

เพิ่มความคิดเห็น ยกเลิกการตอบ