采用流行的宝石包
恶意更改会覆盖类中的“#authenticate”方法
身份,之后每个方法调用都会将身份验证尝试期间发送的电子邮件和密码发送到攻击者的主机。 这样,使用Identity类并安装有漏洞版本的rest-client库的服务用户的登录参数就会被拦截,从而
此外,代码中还添加了后门,允许通过 eval 函数执行任意 Ruby 代码。 该代码通过攻击者密钥认证的 Cookie 进行传输。 为了通知攻击者在外部主机上安装了恶意软件包,系统会发送受害者系统的 URL 以及有关环境的一系列信息,例如 DBMS 和云服务的保存密码。 记录了使用上述恶意代码下载加密货币挖掘脚本的尝试。
研究恶意代码后发现
-
币基 :4.2.2,4.2.1 -
区块链_钱包 :0.0.6,0.0.7 -
很棒的机器人 :1.18.0 -
狗狗币 :1.0.2 -
Capistrano 颜色 :0.5.5 -
比特币虚荣心 :4.3.3 -
丽塔币 :0.0.3 -
快来了 :0.2.8 -
亚马逊omniauth :1.0.1 -
cron_解析器 1.0.12 1.0.13,0.1.4
该列表中的第一个恶意软件包于 12 月 2500 日发布,但大多数出现在 XNUMX 月。 这些软件包总共被下载了大约 XNUMX 次。
来源: opennet.ru