У rest-client та ще 10 Ruby-пакетах виявлено шкідливий код

У популярному gem-пакеті відпочинок-клієнт, що нараховує в сумі 113 мільйонів завантажень, виявлено підстановка шкідливого коду (CVE-2019-15224), який завантажує команди, що виконуються, і відправляє інформацію на зовнішній хост. Атака була зроблена через компрометацію облікового запису розробника rest-client у репозиторії rubygems.org, після чого зловмисники 13 та 14 серпня опублікували випуски 1.6.10-1.6.13, що включають шкідливі зміни. До блокування шкідливих версій їх встигли завантажити близько тисячі користувачів (такі, щоб не привертати увагу, випустили оновлення старих версій).

Шкідлива зміна перевизначає метод «#authenticate» у класі
Identity, після чого кожен виклик методу призводить до надсилання переданого під час спроби автентифікації email та пароля на хост зловмисників. Таким чином здійснюється перехоплення параметрів входу користувачів сервісів, які використовують клас Identity та встановили вразливу версію бібліотеки rest-client фігурує Як залежність у багатьох популярних Ruby-пакетах, включаючи ast (64 млн завантажень), oauth (32 млн), fastlane (18 млн) і Kubeclient (3.7 млн).

Крім того, код доданий бекдор, що дозволяє виконати довільний Ruby-код через функцію eval. Код передається через Cookie, засвідчену ключем атакуючого. Для інформування зловмисників про встановлення шкідливого пакета на зовнішній хост надсилається URL системи жертви та добірка відомостей про оточення, таких як збережені паролі до СУБД та хмарних служб. З використанням вищезазначеного шкідливого коду зафіксовано спроби завантаження скриптів для майтингу криптовалюти.

Після вивчення шкідливого коду було виявлено, що аналогічні зміни присутні ще в 10 пакетів у Ruby Gems, які не були захоплені, а спеціально підготовлені зловмисниками на базі інших популярних бібліотек зі схожими іменами, у яких тире було замінено на підкреслення чи навпаки (наприклад, на базі cron-парсер створено шкідливий пакет cron_parser, а на базі doge_coin шкідливий пакет (doge-coin). Проблемні пакети:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• дож-монета: 1.0.2
• capistrano-colors: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• незабаром: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Перший шкідливий пакет з цього списку був розміщений 12 травня, але більшість з'явилася в липні. У сумі вказані пакети встигли завантажити близько 2500 разів.

Джерело: opennet.ru