rest-client va boshqa 10 ta Ruby paketida zararli kod aniqlandi

Mashhur qimmatbaho toshlar to'plamida dam oluvchi mijoz, jami 113 million yuklab olish bilan, aniqlangan Bajariladigan buyruqlarni yuklaydigan va tashqi xostga ma'lumot yuboradigan zararli kodni (CVE-2019-15224) almashtirish. Hujum orqali amalga oshirildi murosaga kelish rubygems.org omborida ishlab chiquvchi hisobi rest-mijoz, shundan so'ng tajovuzkorlar 13 va 14 avgust kunlari zararli o'zgarishlarni o'z ichiga olgan 1.6.10-1.6.13 relizlarini chop etishdi. Zararli versiyalar bloklanishidan oldin, mingga yaqin foydalanuvchi ularni yuklab olishga muvaffaq bo'ldi (buzg'unchilar e'tiborni tortmaslik uchun eski versiyalarga yangilanishlarni chiqarishdi).

Zararli o'zgarish sinfdagi "#authenticate" usulini bekor qiladi
Identifikatsiya, shundan so'ng har bir usul chaqiruvi autentifikatsiyaga urinish paytida yuborilgan elektron pochta va parolni tajovuzkorlar xostiga yuboradi. Shunday qilib, Identity sinfidan foydalanadigan va qolgan mijozlar kutubxonasining zaif versiyasini o'rnatgan xizmat foydalanuvchilarining kirish parametrlari to'xtatiladi, bu taniqli ast (64 million yuklab olish), oauth (32 million), fastlane (18 million) va kubeclient (3.7 million) kabi ko'plab mashhur Ruby paketlariga qaramlik sifatida.

Bundan tashqari, kodga o'zboshimchalik bilan Ruby kodini eval funksiyasi orqali bajarish imkonini beruvchi orqa eshik qo'shildi. Kod tajovuzkor kaliti bilan tasdiqlangan Cookie orqali uzatiladi. Buzg'unchilarni tashqi xostga zararli paket o'rnatilgani haqida xabardor qilish uchun jabrlanuvchi tizimining URL manzili va atrof-muhit haqidagi ma'lumotlar, masalan, ma'lumotlar bazasi va bulut xizmatlari uchun saqlangan parollar yuboriladi. Yuqorida tilga olingan zararli kod yordamida kriptovalyutani qazib olish uchun skriptlarni yuklab olishga urinishlar qayd etilgan.

Zararli kodni o'rgangach, shunday bo'ldi oshkor qilinganshunga o'xshash o'zgarishlar mavjud 10 ta paket Ruby Gems-da, ular qo'lga olinmagan, ammo tajovuzkorlar tomonidan shunga o'xshash nomlarga ega bo'lgan boshqa mashhur kutubxonalar asosida maxsus tayyorlangan, bunda chiziq pastki chiziq bilan almashtirilgan yoki aksincha (masalan, cron-parser cron_parser zararli paketi yaratilgan va unga asoslangan doge_coin zararli doge-coin paketi). Muammoli paketlar:

• tanga_baza: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• ajoyib-bot: 1.18.0
• doge tanga: 1.0.2
• kapistrano-ranglar: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• tez kunda: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Ushbu roʻyxatdagi birinchi zararli paket 12-may kuni eʼlon qilingan, biroq ularning aksariyati iyul oyida paydo boʻlgan. Umuman olganda, ushbu paketlar taxminan 2500 marta yuklab olingan.

Manba: opennet.ru