Rest-client ve diğer 10 Ruby paketinde kötü amaçlı kod tespit edildi

Popüler bir mücevher paketinde dinlenme istemcisiToplam 113 milyon indirmeyle, tanımlanmış Yürütülebilir komutları indiren ve harici bir ana bilgisayara bilgi gönderen kötü amaçlı kodun (CVE-2019-15224) değiştirilmesi. Saldırı şu adres üzerinden gerçekleştirildi: anlaşmak geliştirici hesabının rest-client'ini rubygems.org deposuna yerleştirdi, ardından saldırganlar 13 ve 14 Ağustos'ta kötü amaçlı değişiklikler içeren 1.6.10-1.6.13 sürümlerini yayınladılar. Kötü amaçlı sürümler engellenmeden önce bine yakın kullanıcı bunları indirmeyi başardı (saldırganlar dikkat çekmemek için eski sürümlere güncelleme yayınladı).

Kötü amaçlı değişiklik, sınıftaki "#authenticate" yöntemini geçersiz kılıyor
Kimlik, bundan sonra her yöntem çağrısı, kimlik doğrulama girişimi sırasında saldırganların ana bilgisayarına gönderilen e-posta ve parolanın gönderilmesiyle sonuçlanır. Bu şekilde, Identity sınıfını kullanan ve geri kalan istemci kitaplığının güvenlik açığı bulunan bir sürümünü yükleyen hizmet kullanıcılarının oturum açma parametreleri ele geçirilir; görünür ast (64 milyon indirme), oauth (32 milyon), fastlane (18 milyon) ve kubeclient (3.7 milyon) dahil olmak üzere birçok popüler Ruby paketinde bağımlılık olarak.

Ek olarak, koda, değerlendirme işlevi aracılığıyla isteğe bağlı Ruby kodunun çalıştırılmasına olanak tanıyan bir arka kapı eklenmiştir. Kod, saldırganın anahtarı tarafından onaylanan bir Çerez aracılığıyla iletilir. Saldırganları harici bir ana bilgisayara kötü amaçlı bir paket kurulumu hakkında bilgilendirmek için kurbanın sisteminin URL'si ve DBMS ve bulut hizmetleri için kayıtlı şifreler gibi ortamla ilgili çeşitli bilgiler gönderilir. Kripto para madenciliği için komut dosyaları indirme girişimleri, yukarıda belirtilen kötü amaçlı kod kullanılarak kaydedildi.

Kötü amaçlı kodu inceledikten sonra tanımlanmışbenzer değişikliklerin mevcut olduğu 10 paket Ruby Gems'de ele geçirilmemiş, ancak saldırganlar tarafından benzer adlara sahip diğer popüler kitaplıklara dayalı olarak özel olarak hazırlanmış, burada kısa çizgi bir alt çizgi ile değiştirilmiş veya tam tersi (örneğin, cron ayrıştırıcı kötü amaçlı bir cron_parser paketi oluşturuldu ve doge_coin kötü amaçlı doge-coin paketi). Sorun paketleri:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• muhteşem robot: 1.18.0
• doge-para: 1.0.2
• kapistrano renkleri: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• Çok yakında: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Bu listedeki ilk kötü amaçlı paket 12 Mayıs'ta yayınlandı ancak çoğu Temmuz ayında ortaya çıktı. Toplamda bu paketler yaklaşık 2500 kez indirildi.

Kaynak: opennet.ru