Ограненный бэкдором рубин: в Ruby-библиотеке strong_password нашли вредонос

Опубликовано at 16:40
61 0

Довольно иронично внедренный код-вредонос обнаружили в библиотеке strong_password – этот пакет создавлся для проверки надежности пользовательских паролей.

По словам обнаружившего проблему разработчика Тут Коста (Tute Costa), «обновленная» версия библиотеки проверяла, не используется ли она в тестовой среде, и если нет – загружала с Pastebin.com бэкдор. После «активации» бэкдор связывался с ресурсом smiley.zzz.com[.]ua и ожидал дальнейших инструкций, которые получал в форме файлов cookie, распаковывая и выполняя их через eval (execute).

В конечном итоге хакеры получали возможность выполнить произвольный код внутри приложения с зараженной библиотекой.

Вредоносный код был добавлен в strong_password с релизом версии 0.0.7, 25 июня 2019 года, которую, согласно статистике RubyGems, успели загрузить 537 пользователей. Что важно, сделанные атакующим изменения не коснулись GitHub-репозитория проекта, скомпрометирован был только RubyGems (фрэймворк для установки и запаковки Ruby библиотек и приложений).

В настоящее время вредоносная версия strong_password уже удалена командой безопасности RubyGems. Всем потенциальным пострадавшим разработчики рекомендуют немедленно откатить библиотеку к использованию версии 0.0.6, а также выполнить тщательный аудит своих проектов.

Следует отметить, что инцидент со strong_password это не первая атака на библиотеки Ruby за последнее время: весной аналогичная компрометация произошла с Ruby-библиотекой Bootstrap-Sass.

Недавно на GitHub появилось сообщение, что неизвестные атаковали цифровые сертификаты OpenPGP двух ключевых участников сообщества, Роберта Дж. Хансена (Robert J. Hansen) и Дэниела Кахна Гиллмора (Daniel Kahn Gillmor), известных сообществу как «rjh» и «dkg». В результате модифицированные сертификаты попали в сеть сервера ключей шифрования. Модифицированы они, естественно, не в лучшую сторону: при попытке загрузить такой сертификат установки OpenPGP выходят из строя.

Читайте также материал на АКБ о проблемах Ruby с сериализацией:

Вот и до Ruby, наконец, дошла уязвимость, с помощью которой злоумышленники могут заставить приложение запускать вредоносный код. Уязвимость эта хорошо знакома специалистам в лицо, называют ее «ошибкой десериализации». Впервые эта дыра наделала шороху еще в 2015 году, когда ее обнаружили в Java: вызванный во всей экосистеме хаос даже получил название Java Apocalypse. В 2017-м аналогичный процесс повторился в .NET и PHP, ну а теперь, стало быть, очередь дошла и до Ruby.

Подписываемся, следим @CyberAgency

Related Post

Хакеры из Северной Кореи украли секретные военные данные Южной Кореи

Опубликовано - 11.10.2017 0
Северокорейские хакеры украли сотни секретных военных документов из Южной Кореи, включая подробные оперативные планы военных действий с участием США. Ри…

У медицинского искусственного интеллекта будет не больше прав, чем у молотка

Опубликовано - 09.02.2018 0
Сегодня на пресс-конференции «Цифровая экономика и искусственный интеллект» глава АНО «Право роботов» Никита Куликов рассказал о том, как будут формироваться…

Уязвимость Wi-Fi в аэропортах или взлом с ветерком

Опубликовано - 10.08.2018 0
Компания Coronet, которая занимается киберзащитой облачных систем, проанализировала американские аэропорты с точки зрения кибербезопасности. По мнению экспертов, аэропорты непреднамеренно, но…

Была проведена DDoS-атака на сайты парламентских выборов в Чехии

Опубликовано - 24.10.2017 0
Два веб-сайта Чешского статистического управления были переведены в автономный режим после проведения в выходные DDoS-атаки. Киберпреступники пытались проникнуть в базу…