採用流行的寶石包
惡意變更會覆寫類別中的“#authenticate”方法
身份,之後每個方法呼叫都會將身份驗證嘗試期間發送的電子郵件和密碼傳送到攻擊者的主機。 這樣,使用Identity類別並安裝有漏洞版本的rest-client庫的服務使用者的登入參數就會被攔截,從而
此外,程式碼中還新增了後門,允許透過 eval 函數執行任意 Ruby 程式碼。 此程式碼透過攻擊者金鑰認證的 Cookie 進行傳輸。 為了通知攻擊者在外部主機上安裝了惡意軟體包,系統會發送受害者係統的 URL 以及有關環境的一系列訊息,例如 DBMS 和雲端服務的保存密碼。 記錄了使用上述惡意程式碼下載加密貨幣挖礦腳本的嘗試。
研究惡意程式碼後發現
-
幣基 :4.2.2,4.2.1 -
區塊鏈_錢包 :0.0.6,0.0.7 -
很棒的機器人 :1.18.0 -
狗狗幣 :1.0.2 -
Capistrano 色 :0.5.5 -
比特幣虛榮心 :4.3.3 -
麗塔幣 :0.0.3 -
即將推出 :0.2.8 -
亞馬遜omniauth :1.0.1 -
cron_解析器 1.0.12 1.0.13,0.1.4
該清單中的第一個惡意軟體包於 12 月 2500 日發布,但大多數出現在 XNUMX 月。 這些軟體包總共被下載了大約 XNUMX 次。
來源: opennet.ru