Розробники менеджера пакетів RubyGems виявили бекдор у 18 шкідливих версіях 11 бібліотек Ruby

Зловмисники використали бекдор для впровадження в чужі проекти Ruby криптовалютного майнера

розробники менеджера пакетів RubyGems виявили бекдор у 18 шкідливих версіях 11 бібліотек Ruby. Зловмисники використали його для впровадження в проекти Ruby криптовалютного майнера через шкідливі версії бібліотек.

Зокрема, шкідливий код було виявлено у чотирьох версіях однієї з найпопулярніших Ruby-бібліотек rest-client. За словами користувача GitHub під псевдонімом juskoljo, він проаналізував версії бібліотеки з 1.6.9 по 1.6.13 і виявив, що остання версія завантажує з pastebin.com віддалений код і відправляє інформацію на mironanoru.zzz.com.ua.

Як з'ясував розробник Ruby, шкідливість збирає змінні середовища скомпрометованої системи (наприклад, облікові дані для сервісів, що використовуються) і відправляє їх на віддалений сервер на території України.

Для запуску коду зловмисник повинен надіслати підписані за допомогою його власного ключа файли cookie. Вони перевантажують метод #authenticate у класі Identity, і при кожному виклику методу атакуючого надсилається електронна адреса та пароль. Також бекдор дозволяє зловмиснику виконувати на скомпрометованій системі довільні команди.

Шкідлива кампанія тривала більше місяця, доки обліковий запис розробника rest-client не був зламаний з метою додавання до менеджера пакетів RubyGems чотирьох шкідливих версій бібліотеки.

18 шкідливих версій бібліотек було завантажено користувачами 3584 рази, після чого було видалено з RubyGems. Автори проектів, де використовуються бібліотеки з бекдором, мають видалити із шкідливих бібліотек всі залежності і використовувати нові, безпечні.

Інші новини