ریسٹ کلائنٹ اور 10 دیگر روبی پیکیجز میں بدنیتی پر مبنی کوڈ کا پتہ چلا

ایک مشہور منی پیکج میں آرام گاہککل 113 ملین ڈاؤن لوڈز کے ساتھ، شناخت کیا نقصان دہ کوڈ (CVE-2019-15224) کا متبادل جو قابل عمل کمانڈز کو ڈاؤن لوڈ کرتا ہے اور ایک بیرونی میزبان کو معلومات بھیجتا ہے۔ کے ذریعے حملہ کیا گیا۔ سمجھوتہ rubygems.org ریپوزٹری میں ڈویلپر اکاؤنٹ ریسٹ کلائنٹ، جس کے بعد حملہ آوروں نے 13 اور 14 اگست کو ریلیز 1.6.10-1.6.13 شائع کی، جس میں بدنیتی پر مبنی تبدیلیاں شامل تھیں۔ بدنیتی پر مبنی ورژنز کو بلاک کرنے سے پہلے، تقریباً ایک ہزار صارفین انہیں ڈاؤن لوڈ کرنے میں کامیاب ہو گئے تھے (حملہ آوروں نے توجہ مبذول نہ کرنے کے لیے پرانے ورژنز کی اپ ڈیٹس جاری کیں)۔

بدنیتی پر مبنی تبدیلی کلاس میں "#authenticate" طریقہ کو اوور رائیڈ کر دیتی ہے۔
شناخت، جس کے بعد ہر طریقہ کال کا نتیجہ ای میل اور پاس ورڈ کی صورت میں آتا ہے جو تصدیق کی کوشش کے دوران حملہ آوروں کے میزبان کو بھیجا جاتا ہے۔ اس طرح، آئیڈینٹیٹی کلاس استعمال کرنے والے اور ریسٹ کلائنٹ لائبریری کے کمزور ورژن کو انسٹال کرنے والے سروس صارفین کے لاگ ان پیرامیٹرز کو روک دیا جاتا ہے، جو نمایاں بہت سے مقبول روبی پیکجوں میں انحصار کے طور پر، بشمول ast (64 ملین ڈاؤن لوڈز)، oauth (32 ملین)، فاسٹلین (18 ملین)، اور kubeclient (3.7 ملین)۔

اس کے علاوہ، کوڈ میں ایک بیک ڈور شامل کیا گیا ہے، جس سے ایول فنکشن کے ذریعے صوابدیدی روبی کوڈ کو عمل میں لایا جا سکتا ہے۔ کوڈ حملہ آور کی کلید سے تصدیق شدہ کوکی کے ذریعے منتقل کیا جاتا ہے۔ حملہ آوروں کو بیرونی میزبان پر بدنیتی پر مبنی پیکیج کی تنصیب کے بارے میں مطلع کرنے کے لیے، متاثرہ شخص کے سسٹم کا URL اور ماحول کے بارے میں معلومات کا انتخاب، جیسے DBMS اور کلاؤڈ سروسز کے لیے محفوظ کردہ پاس ورڈ بھیجے جاتے ہیں۔ کرپٹو کرنسی مائننگ کے لیے اسکرپٹس کو ڈاؤن لوڈ کرنے کی کوششیں اوپر بیان کردہ بدنیتی پر مبنی کوڈ کا استعمال کرکے ریکارڈ کی گئیں۔

بدنیتی پر مبنی کوڈ کا مطالعہ کرنے کے بعد یہ تھا۔ نازل کیاکہ اسی طرح کی تبدیلیاں موجود ہیں۔ 10 پیکجز روبی جیمز میں، جو پکڑے نہیں گئے تھے، لیکن خاص طور پر حملہ آوروں نے ملتے جلتے ناموں والی دیگر مشہور لائبریریوں کی بنیاد پر تیار کیے تھے، جس میں ڈیش کو انڈر سکور یا اس کے برعکس تبدیل کیا گیا تھا (مثال کے طور پر، پر مبنی cron-parser ایک بدنیتی پر مبنی پیکیج cron_parser بنایا گیا تھا، اور اس پر مبنی تھا۔ doge_coin بدنیتی پر مبنی doge-coin پیکیج)۔ مسئلہ پیکجز:

• سکے_بیس: 4.2.2، 4.2.1
• blockchain_wallet: 0.0.6، 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano رنگ: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• جلد آرہا ہے۔: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12 ، 1.0.13 ، 0.1.4

اس فہرست میں سے پہلا بدنیتی پر مبنی پیکیج 12 مئی کو پوسٹ کیا گیا تھا، لیکن ان میں سے زیادہ تر جولائی میں شائع ہوا تھا۔ مجموعی طور پر ان پیکجز کو تقریباً 2500 بار ڈاؤن لوڈ کیا گیا۔

ماخذ: opennet.ru