流行 Ruby 库曝出恶意后门代码,始作俑者未知

by admin on 2020年2月14日

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18
个恶意版本,这些版本包含了后门机制,可以在使用
Ruby 时启动加密货币挖掘程序。

流行的 Ruby 库 Bootstrap-Sass 曝出后门代码。

图片 1

图片 2

恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client
是一个非常流行的 Ruby 库。这些库中的恶意代码会将受感染系统的 URL
和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制,允许攻击者将
cookie
文件发送回受感染对象,并允许攻击者执行恶意命令。研究者调查后发现,这种机制被用于挖矿。

Bootstrap-Sass 是一个流行的 Ruby UI 框架,它为开发人员提供了一个 Sass
版本的 Bootstrap。据 ZDNet 的报导,上周三,开发者 Derek Barnes 在该库
3.2.0.3
版本中发现后门代码,这一小段具有恶意性质的代码如上图所示,它嵌入 Ruby
或 Ruby on Rails 之后,会加载一个 cookie 文件并执行其内容。   

除了 rest-client,还有其它 10 个 Ruby
库也中招,但它们都是通过使用另一个功能齐全的库添加恶意代码,然后以新名称在
RubyGems 上重新上传而创建的。

据统计,虽然 Bootstrap-Sass 的安装量达到 2800 万,但是此后门版本仅有
1477 次安装,因为该库的最新版本是
3.4.1,而很少有开发者在使用旧版本分支,这一点提供了有效的安全保障。

研究人员分别统计了这些恶意版本在被移除前被下载的次数,一共被下载了三千多次,其中
rest-client 1.6.13 被下载了一千多次:

报告公开的同一天该后门已经从 RubyGems 中删除,Bootstrap-Sass
团队还撤销了对 RubyGems
的访问权限,因为开发人员认为他们的帐户遭到入侵并被用来推送恶意代码

  • rest-client:1.6.10(下载 176 次),1.6.11(下载 2
    次),1.6.12(下载 3 次)和 1.6.13 (下载 1061 次)
  • bitcoin_vanity:4.3.3(下载 8 次)
  • lita_coin:0.0.3(下载 210 次)
  • 即将推出:0.2.8(下载211次)
  • omn​​iauth_amazon:1.0.1(下载 193 次)
  • cron_parser:0.1.4(下载 2 次),1.0.12(下载 3 次) )和
    1.0.13(下载 248 次)
  • coin_base:4.2.1(下载 206 次)和 4.2.2(下载 218 次)
  • blockchain_wallet:0.0.6(下载 201 次)和 0.0.7(下载 222 次)
  • awesome-bot:1.18.0(下载 232 次)
  • doge-coin:1.0.2(下载 213 次)
  • capistrano-colors:0.5.5(下载 175 次)

此外,RubyGems 和 GitHub 上也发布了 Bootstrap-Sass v3.2.0.4
版本,完全删除了后门的相关内容。

安全起见,建议在依赖关系树中删除这些库版本,或者升级/降级到安全版本,详情查看:

(文/开源中国)    

https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图