Bootstrap-Sass, що використовується в додатках на Ruby та Ruby on Rails містив бекдор

У популярній бібліотеці Bootstrap-Sass, що використовується в додатках на Ruby і Ruby on Rails для відображення інтерфейсу користувача, виявлений бекдор. Bootstrap-Sass надає розробникам Sass-версію Bootstrap – найбільш популярного на сьогоднішній день фреймворку для web-проектів.

Про наявність бекдору стало відомо 27 березня, коли розробник зауважив, що хтось видалив версію Bootstrap-Sass v3.2.0.2 і відразу замінив її версією v3.2.0.3. Інтерес програміста викликав той факт, що зміни були зроблені лише в RubyGems (репозиторії для Ruby-бібліотек), але не на GitHub, де контролювався вихідний код бібліотеки.

Проаналізувавши версію v3.2.03, розміщену в RubyGems, розробник, за його словами, «цікавий код», який завантажував cookie-файл та виконував його вміст. Бекдор було видалено з репозиторію того ж дня, коли розробник повідомив про нього. Команда Bootstrap-Sass також заблокувала в RubyGems обліковий запис, з яким імовірно поширювалася шкідлива версія бібліотеки.

Розробники випустили оновлення Bootstrap-Sass v3.2.0.4 (доступно на RubyGems та GitHub), що усуває бекдор. За оцінками експертів, кількість постраждалих проектів порівняно невелика, оскільки розробники переважно використовують останню версію Bootstrap-Sass v3.4.1 і лише небагато – застарілу гілку. Згідно з офіційною статистикою RubyGems, шкідливу версію було завантажено 1 477 разів.