Довольно иронично внедренный код-вредонос обнаружили в библиотеке strong_password – этот пакет создавлся для проверки надежности пользовательских паролей.
По словам обнаружившего проблему разработчика Тут Коста (Tute Costa), «обновленная» версия библиотеки проверяла, не используется ли она в тестовой среде, и если нет – загружала с Pastebin.com бэкдор. После «активации» бэкдор связывался с ресурсом smiley.zzz.com[.]ua и ожидал дальнейших инструкций, которые получал в форме файлов cookie, распаковывая и выполняя их через eval (execute).
В конечном итоге хакеры получали возможность выполнить произвольный код внутри приложения с зараженной библиотекой.
Вредоносный код был добавлен в strong_password с релизом версии 0.0.7, 25 июня 2019 года, которую, согласно статистике RubyGems, успели загрузить 537 пользователей. Что важно, сделанные атакующим изменения не коснулись GitHub-репозитория проекта, скомпрометирован был только RubyGems (фрэймворк для установки и запаковки Ruby библиотек и приложений).
В настоящее время вредоносная версия strong_password уже удалена командой безопасности RubyGems. Всем потенциальным пострадавшим разработчики рекомендуют немедленно откатить библиотеку к использованию версии 0.0.6, а также выполнить тщательный аудит своих проектов.
Следует отметить, что инцидент со strong_password это не первая атака на библиотеки Ruby за последнее время: весной аналогичная компрометация произошла с Ruby-библиотекой Bootstrap-Sass.
Недавно на GitHub появилось сообщение, что неизвестные атаковали цифровые сертификаты OpenPGP двух ключевых участников сообщества, Роберта Дж. Хансена (Robert J. Hansen) и Дэниела Кахна Гиллмора (Daniel Kahn Gillmor), известных сообществу как «rjh» и «dkg» . В результате модифицированные сертификаты попали в сеть сервера ключей шифрования. Модифицированы они, естественно, не в лучшую сторону: при попытке загрузить такой сертификат установки OpenPGP выходят из строя.
Читайте также материал на АКБ о проблемах Ruby с сериализацией:
Вот и до Ruby, наконец, дошла уязвимость, с помощью которой злоумышленники могут заставить приложение запускать вредоносный код. Уязвимость эта хорошо знакома специалистам в лицо, называют ее «ошибкой десериализации». Впервые эта дыра наделала шороху еще в 2015 году, когда ее обнаружили в Java: вызванный во всей экосистеме хаос даже получил название Java Apocalypse. В 2017-м аналогичный процесс повторился в .NET и PHP, ну а теперь, стало быть, очередь дошла и до Ruby.
