Mã độc được phát hiện trong Rest-client và 10 gói Ruby khác

Trong gói đá quý phổ biến khách hàng nghỉ ngơi, với tổng số 113 triệu lượt tải xuống, xác định Thay thế mã độc (CVE-2019-15224) tải các lệnh thực thi và gửi thông tin đến máy chủ bên ngoài. Cuộc tấn công được thực hiện thông qua thỏa hiệp tài khoản nhà phát triển Rest-client trong kho lưu trữ Rubygems.org, sau đó những kẻ tấn công đã xuất bản các bản phát hành 13-14 vào ngày 1.6.10 và 1.6.13 tháng XNUMX, bao gồm các thay đổi độc hại. Trước khi các phiên bản độc hại bị chặn, khoảng một nghìn người dùng đã tải chúng xuống (những kẻ tấn công đã phát hành bản cập nhật cho các phiên bản cũ hơn để không thu hút sự chú ý).

Thay đổi độc hại ghi đè phương thức "#authenticate" trong lớp
Danh tính, sau đó mỗi lệnh gọi phương thức sẽ dẫn đến email và mật khẩu được gửi trong quá trình xác thực được gửi đến máy chủ của kẻ tấn công. Bằng cách này, các tham số đăng nhập của người dùng dịch vụ sử dụng lớp Nhận dạng và cài đặt phiên bản dễ bị tấn công của thư viện máy khách còn lại sẽ bị chặn, điều này đặc sắc như một phần phụ thuộc trong nhiều gói Ruby phổ biến, bao gồm ast (64 triệu lượt tải xuống), oauth (32 triệu), fastlane (18 triệu) và kubeclient (3.7 triệu).

Ngoài ra, một cửa hậu đã được thêm vào mã, cho phép mã Ruby tùy ý được thực thi thông qua hàm eval. Mã được truyền qua Cookie được xác nhận bởi khóa của kẻ tấn công. Để thông báo cho kẻ tấn công về việc cài đặt gói độc hại trên máy chủ bên ngoài, URL của hệ thống của nạn nhân và lựa chọn thông tin về môi trường, chẳng hạn như mật khẩu đã lưu cho DBMS và dịch vụ đám mây, sẽ được gửi. Các nỗ lực tải xuống tập lệnh để khai thác tiền điện tử đã được ghi lại bằng mã độc nêu trên.

Sau khi nghiên cứu mã độc thì đã tiết lộnhững thay đổi tương tự cũng xuất hiện trong 10 gói trong Ruby Gems, không bị bắt nhưng được kẻ tấn công chuẩn bị đặc biệt dựa trên các thư viện phổ biến khác có tên tương tự, trong đó dấu gạch ngang được thay thế bằng dấu gạch dưới hoặc ngược lại (ví dụ: dựa trên trình phân tích cú pháp cron một gói độc hại cron_parser đã được tạo và dựa trên doge_coin gói độc hại doge-coin). Gói vấn đề:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• bot tuyệt vời: 1.18.0
• đồng xu doge: 1.0.2
• màu capistrano: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• Sắp có: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Gói độc hại đầu tiên trong danh sách này được đăng vào ngày 12/2500, nhưng hầu hết chúng đều xuất hiện vào tháng XNUMX. Tổng cộng, các gói này đã được tải xuống khoảng XNUMX lần.

Nguồn: opennet.ru