May nakitang malisyosong code sa rest-client at 10 iba pang Ruby package

Sa isang sikat na pakete ng hiyas pahinga-kliyente, na may kabuuang 113 milyong pag-download, nakilala Pagpapalit ng malisyosong code (CVE-2019-15224) na nagda-download ng mga executable na command at nagpapadala ng impormasyon sa isang external na host. Ang pag-atake ay isinagawa sa pamamagitan ng kompromiso rest-client ng developer account sa repositoryo ng rubygems.org, pagkatapos ay nag-publish ang mga umaatake ng mga release 13-14 noong Agosto 1.6.10 at 1.6.13, na may kasamang mga malisyosong pagbabago. Bago ma-block ang mga nakakahamak na bersyon, humigit-kumulang isang libong gumagamit ang nagawang i-download ang mga ito (naglabas ang mga umaatake ng mga update sa mga mas lumang bersyon upang hindi makaakit ng pansin).

Ino-override ng nakakahamak na pagbabago ang "#authenticate" na paraan sa klase
Pagkakakilanlan, pagkatapos nito ang bawat tawag sa pamamaraan ay nagreresulta sa email at password na ipinadala sa panahon ng pagtatangkang pagpapatunay na ipinapadala sa host ng mga umaatake. Sa ganitong paraan, naharang ang mga parameter sa pag-log in ng mga user ng serbisyo na gumagamit ng klase ng Identity at pag-install ng masusugatan na bersyon ng library ng rest-client, na Itinatampok bilang dependency sa maraming sikat na Ruby packages, kabilang ang ast (64 million downloads), oauth (32 million), fastlane (18 million), at kubeclient (3.7 million).

Bilang karagdagan, ang isang backdoor ay idinagdag sa code, na nagpapahintulot sa arbitrary na Ruby code na maisakatuparan sa pamamagitan ng eval function. Ang code ay ipinadala sa pamamagitan ng isang Cookie na na-certify ng susi ng umaatake. Upang ipaalam sa mga umaatake ang tungkol sa pag-install ng isang nakakahamak na pakete sa isang panlabas na host, ang URL ng system ng biktima at isang seleksyon ng impormasyon tungkol sa kapaligiran, tulad ng mga naka-save na password para sa DBMS at mga serbisyo sa cloud, ay ipinapadala. Ang mga pagtatangkang mag-download ng mga script para sa pagmimina ng cryptocurrency ay naitala gamit ang nabanggit na malisyosong code.

Pagkatapos pag-aralan ang malisyosong code na iyon ipinahayagna ang mga katulad na pagbabago ay naroroon sa 10 pakete sa Ruby Gems, na hindi nakuha, ngunit espesyal na inihanda ng mga umaatake batay sa iba pang sikat na library na may katulad na mga pangalan, kung saan ang gitling ay pinalitan ng underscore o vice versa (halimbawa, batay sa cron-parser isang nakakahamak na package na cron_parser ay nilikha, at batay sa doge_coin malisyosong doge-coin package). Mga pakete ng problema:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-kulay: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• malapit na: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Ang unang malisyosong pakete mula sa listahang ito ay nai-post noong Mayo 12, ngunit karamihan sa mga ito ay lumabas noong Hulyo. Sa kabuuan, ang mga paketeng ito ay na-download nang humigit-kumulang 2500 beses.

Pinagmulan: opennet.ru