Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
You must be registered for see images attach
В частности, вредоносный код был обнаружен в четырех версиях одной из популярнейших Ruby-библиотек rest-client. По словам пользователя GitHub под псевдонимом juskoljo, он проанализировал версии библиотеки с 1.6.9 по 1.6.13 и обнаружил, что последняя версия загружает с pastebin.com удаленный код и отправляет информацию на mironanoru.zzz.com.ua.
Как выяснил разработчик Ruby Ян Динтел (Jan Dintel), вредонос собирает переменные среды скомпрометированной системы (например, учетные данные для используемых сервисов) и отправляет их на удаленный сервер на территории Украины.
Для запуска кода злоумышленник должен отправить подписанные с помощью его собственного ключа файлы cookie. Они перегружают метод #authenticate в классе Identity, и при каждом вызове метода атакующему отправляется электронный адрес и пароль. Также бэкдор позволяет злоумышленнику выполнять на скомпрометированной системе произвольные команды.
Вредоносная кампания продолжалась более месяца, пока учетная запись разработчика rest-client Мэтью Мэннинга (Matthew Manning) не была взломана с целью добавления в менеджер пакетов RubyGems четырех вредоносных версий библиотеки.
18 вредоносных версий библиотек были загружены пользователями 3584 раза, после чего были удалены из RubyGems. Авторы проектов, где используются библиотеки с бэкдором, должны удалить из вредоносных библиотек все зависимости и использовать новые, безопасные.
*Источник - https://www.securitylab.ru/news/500531.php