信息來源:hackernews
RubyGems 軟件包存儲庫的維護者近期移除了 11 個 Ruby 庫中出現的 18 個惡意版本,這些版本包含了后門機制,可以在使用 Ruby 時啟動加密貨幣挖掘程序。惡意代碼最初發(fā)現于 4 個版本的 rest-client 庫中,rest-client 是一個非常流行的 Ruby 庫。
這些庫中的惡意代碼會將受感染系統的 URL 和環(huán)境變量發(fā)送到烏克蘭的遠程服務器。同時代碼還包含一個后門機制,允許攻擊者將 cookie 文件發(fā)送回受感染對象,并允許攻擊者執(zhí)行惡意命令。研究者調查后發(fā)現,這種機制被用于挖礦。
除了 rest-client,還有其它 10 個 Ruby 庫也中招,但它們都是通過使用另一個功能齊全的庫添加惡意代碼,然后以新名稱在 RubyGems 上重新上傳而創(chuàng)建的。
研究人員分別統計了這些惡意版本在被移除前被下載的次數,一共被下載了三千多次,其中 rest-client 1.6.13 被下載了一千多次:
-
rest-client:1.6.10(下載 176 次),1.6.11(下載 2 次),1.6.12(下載 3 次)和 1.6.13 (下載 1061 次)
-
bitcoin_vanity:4.3.3(下載 8 次)
-
lita_coin:0.0.3(下載 210 次)
-
即將推出:0.2.8(下載211次)
-
omniauth_amazon:1.0.1(下載 193 次)
-
cron_parser:0.1.4(下載 2 次),1.0.12(下載 3 次) )和 1.0.13(下載 248 次)
-
coin_base:4.2.1(下載 206 次)和 4.2.2(下載 218 次)
-
blockchain_wallet:0.0.6(下載 201 次)和 0.0.7(下載 222 次)
-
awesome-bot:1.18.0(下載 232 次)
-
doge-coin:1.0.2(下載 213 次)
-
capistrano-colors:0.5.5(下載 175 次)
安全起見,建議在依賴關系樹中刪除這些庫版本,或者升級/降級到安全版本,詳情查看:
https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie