ในแพ็คเกจอัญมณียอดนิยม
การเปลี่ยนแปลงที่เป็นอันตรายแทนที่เมธอด #authenticate ในคลาส
ข้อมูลระบุตัวตน หลังจากนั้นการเรียกแต่ละวิธีส่งผลให้อีเมลและรหัสผ่านที่ส่งระหว่างความพยายามตรวจสอบสิทธิ์จะถูกส่งไปยังโฮสต์ของผู้โจมตี ด้วยวิธีนี้ พารามิเตอร์การเข้าสู่ระบบของผู้ใช้บริการที่ใช้คลาส Identity และการติดตั้งไลบรารีส่วนที่เหลือในเวอร์ชันที่มีช่องโหว่จะถูกดักจับ ซึ่ง
นอกจากนี้ ยังมีการเพิ่มแบ็คดอร์เข้าไปในโค้ด ทำให้สามารถรันโค้ด Ruby ได้ตามใจชอบผ่านฟังก์ชัน eval รหัสจะถูกส่งผ่านคุกกี้ที่ได้รับการรับรองโดยรหัสของผู้โจมตี เพื่อแจ้งให้ผู้โจมตีทราบเกี่ยวกับการติดตั้งแพ็คเกจที่เป็นอันตรายบนโฮสต์ภายนอก URL ของระบบของเหยื่อและข้อมูลเกี่ยวกับสภาพแวดล้อมที่เลือก เช่น รหัสผ่านที่บันทึกไว้สำหรับ DBMS และบริการคลาวด์จะถูกส่งไป ความพยายามในการดาวน์โหลดสคริปต์สำหรับการขุด cryptocurrency ถูกบันทึกโดยใช้โค้ดที่เป็นอันตรายดังกล่าวข้างต้น
หลังจากศึกษาโค้ดที่เป็นอันตรายแล้ว
-
coin_base : 4.2.2, 4.2.1 -
blockchain_wallet : 0.0.6, 0.0.7 -
สุดยอดบอท : 1.18.0 -
doge-เหรียญ : 1.0.2 -
capistrano-สี : 0.5.5 -
bitcoin_vanity : 4.3.3 -
lita_coin : 0.0.3 -
เร็ว ๆ นี้ : 0.2.8 -
omniauth_amazon : 1.0.1 -
cron_parser : 1.0.12, 1.0.13, 0.1.4 น
แพ็คเกจที่เป็นอันตรายชุดแรกจากรายการนี้ถูกโพสต์เมื่อวันที่ 12 พฤษภาคม แต่ส่วนใหญ่ปรากฏในเดือนกรกฎาคม โดยรวมแล้วมีการดาวน์โหลดแพ็คเกจเหล่านี้ประมาณ 2500 ครั้ง
ที่มา: opennet.ru