В популярном gem-пакете rest-client (https://rubygems.org/gems/rest-client), насчитывающем в сумме 113 миллиона загрузок, выявлена (https://github.com/rest-client/rest-client/issues/713) подстановка вредоносного кода (CVE-2019-15224), который загружает исполняемые команды и отправляет информацию на внешний хост. Атака была произведена через компрометацию (https://github.com/rest-client/rest-client/issues/713#issuec...) учётной записи разработчика rest-client в репозитории rubygems.org, после чего злоумышленники 13 и 14 августа опубликовали выпуски 1.6.10-1.6.13, включающие вредоносные изменения. До блокировки вредоносных версий их успели загрузить около тысячи пользователей (атакующие чтобы не привлекать внимание выпустили обновления старых версий).Вредоносное изменение переопределяет метод "#authenticate" в классе
Identity, после чего каждый вызов метода приводит к отправке переданного при попытке аутентификации email и пароля на хост злоумышленников. Таким образом осуществляется перехват параметров входа пользователей сервисов, использующих класс Identity и установивших уязвимую версию библиотеки rest-client, которая фигурирует (https://rubygems.org/gems/rest-client/reverse_dependencies) в качестве зависимости во многих популярных Ruby-пакетах, включая ast (64 млн загрузок), oauth (32 млн), fastlane (18 млн) и kubeclient (3.7 млн).
Кроме того, в код добавлен бэкдор, позволяющий выполнить произвольный Ruby-код через функцию eval. Код передаётся через Cookie, заверенную ключом атакующего. Для информирования злоумышленников об установке вредоносного пакета на внешний хост отправляется URL системы жертвы и подборка сведений об окружении, таких как сохранённые пароли к СУБД и облачным службам. C использованием вышеотмеченного вредоносного кода зафиксированы попытки загрузки скриптов для майтинга криптовалюты.
После изучения вредоносного кода было выявлено (https://github.com/rubygems/rubygems.org/issues/2097), что аналогичные изменения присутствуют ещё в 10 пакетах (https://github.com/rubygems/rubygems.org/wiki/Gems-yanked-an...) в Ruby Gems, которые не были захвачены, а специально подготовлены злоумышленниками на базе других популярных библиотек с похожими именами, в которых тире было заменено на подчёркивание или наоборот (например, на базе cron-parser (https://rubygems.org/gems/cron-parser) создан вредоносный пакет cron_parser, а на базе doge_coin (https://rubygems.org/gems/doge_coin) вредоносный пакет doge-coin). Проблемные пакеты:
- coin_base (https://rubygems.org/gems/coin_base): 4.2.2, 4.2.1
- blockchain_wallet (https://rubygems.org/gems/blockchain_wallet): 0.0.6, 0.0.7
- awesome-bot (https://rubygems.org/gems/awesome-bot): 1.18.0
- doge-coin (https://rubygems.org/gems/doge-coin): 1.0.2
- capistrano-colors (https://rubygems.org/gems/capistrano-colors): 0.5.5
- bitcoin_vanity (https://rubygems.org/gems/bitcoin_vanity): 4.3.3
- lita_coin (https://rubygems.org/gems/lita_coin): 0.0.3
- coming-soon (https://rubygems.org/gems/coming-soon): 0.2.8
- omniauth_amazon (https://rubygems.org/gems/omniauth_amazon): 1.0.1
- cron_parser (https://rubygems.org/gems/cron_parser): 1.0.12, 1.0.13, 0.1.4
Первый вредоносный пакет из данного списка был размещён 12 мая, но большая часть появилась в июле. В сумме указанные пакеты успели загрузить около 2500 раз.
URL: https://news.ycombinator.com/item?id=20745768
Новость: https://www.opennet.dev/opennews/art.shtml?num=51321