Os mantenedores do repositório de pacotes RubyGems descobriram 18 versões maliciosas de 11 bibliotecas Ruby que continham um mecanismo de backdoor. Essas mesmas bibliotecas foram flagradas inserindo código que lançou operações de mineração criptografada dentro dos projetos Ruby de outras pessoas. Portanto, um código de backdoor foi encontrado em 11 bibliotecas Ruby.
Como o código de backdoor foi encontrado em 11 bibliotecas Ruby?
O código malicioso foi descoberto ontem dentro de quatro versões do rest-client, uma biblioteca Ruby extremamente popular.
De acordo com uma análise feita por Jan Dintel, um desenvolvedor holandês de Ruby, o código malicioso encontrado no rest-client coletaria e enviaria as variáveis ??de URL e ambiente de um sistema comprometido para um servidor remoto na Ucrânia.
Dependendo da sua configuração, isso pode incluir credenciais de serviços que você usa como, por exemplo, banco de dados, provedor de serviços de pagamento, disse Dintel.
O código também continha um mecanismo de backdoor. Este permitia ao invasor enviar um arquivo de cookie de volta a um projeto comprometido. Sendo assim, o invasor poderia executar comandos maliciosos.
Uma investigação subseqüente feita pela equipe do RubyGems descobriu que esse mecanismo estava sendo abusado para inserir código de mineração de criptomoeda.
A equipe do RubyGems também descobriu códigos semelhantes em outros 10 projetos:
- Rest -client: 1.6.10 (baixado 176 vezes desde 13 de agosto de 2019), 1.6.11 (baixado 2 vezes desde 14 de agosto de 2019), 1.6.12 (baixado 3 vezes desde 14 de agosto de 2019), e 1.6.13 (baixado 1.061 vezes desde 14 de agosto de 2019);
- bitcoin_vanity: 4.3.3 (baixado 8 vezes desde 12 de maio de 2019);
- lita_coin: 0.0.3 (baixado 210 vezes desde 17 de julho de 2019);
- coming-soon: 0.2.8 (baixado 211 vezes desde: 17 de Julho de 2019);
- omniauth_amazon: 1.0.1 (baixado 193 vezes desde o dia 26 de julho de 2019);
- cron_parser: 0.1.4 (baixado 2 vezes desde julho 8, 2019), 1.0.12 (baixado 3 vezes desde July 8, 2019) ), e 1.0.13 (baixado 248 vezes desde 8 de julho de 2019);
- coin_base:4.2.1 (baixado 206 vezes desde 9 de julho de 2019) e 4.2.2 (baixado 218 vezes desde 16 de julho de 2019);
- blockchain_wallet: 0.0.6 (baixado 201 vezes desde 10 de julho de 2019) e 0.0.7 (baixado 222 vezes) desde 16 de julho de 2019);
- awesome-bot: 1.18.0 (baixado 232 vezes desde 15 de julho de 2019);
- doge-coin: 1.0.2 (baixado 213 vezes desde 17 de julho de 2019);
- capistrano-colors: 0.5.5 (baixado 175 desde 1 de agosto de 2019).
O indivíduo por trás desse esquema estava ativo por mais de um mês e suas ações não foram detectadas.
As coisas mudaram quando o hacker conseguiu acessar a conta do RubyGems de um dos desenvolvedores. Ele usou isso para empurrar quatro versões maliciosas do rest-client no RubyGems.
No entanto, ao segmentar um projeto que conta com mais de 113 milhões de downloads no RubyGems, o hacker deu visibilidade à operação. Assim, o ataque pôde ser interrompido poucas horas depois de identificado.
Ao todo, as 18 versões de bibliotecas maliciosas só conseguiram acumular 3.584 downloads antes de serem removidos do RubyGems.
Os projetos que dependem dessas bibliotecas em sua árvore de dependência devem fazer a remoção imediatamente. Outras opções são atualizar ou fazer o downgrade para uma versão segura.
Além disso, o mecanismo de backdoor que aceita cookies e é executado de forma aleatória não é inédito. Na verdade, é semelhante a um mecanismo descoberto anteriormente em dois outros projetos. Estamos falando do Bootstrap-Sass em abril de 2019 e o strong password em julho de 2019. No entanto, nenhuma conexão foi feita entre essas três tentativas de backdoor de bibliotecas Ruby.
Via ZDNet
