信息來(lái)源:hackernews
RubyGems 軟件包存儲(chǔ)庫(kù)的維護(hù)者近期移除了 11 個(gè) Ruby 庫(kù)中出現(xiàn)的 18 個(gè)惡意版本,這些版本包含了后門(mén)機(jī)制���,可以在使用 Ruby 時(shí)啟動(dòng)加密貨幣挖掘程序�。惡意代碼最初發(fā)現(xiàn)于 4 個(gè)版本的 rest-client 庫(kù)中,rest-client 是一個(gè)非常流行的 Ruby 庫(kù)����。
這些庫(kù)中的惡意代碼會(huì)將受感染系統(tǒng)的 URL 和環(huán)境變量發(fā)送到烏克蘭的遠(yuǎn)程服務(wù)器。同時(shí)代碼還包含一個(gè)后門(mén)機(jī)制�����,允許攻擊者將 cookie 文件發(fā)送回受感染對(duì)象�,并允許攻擊者執(zhí)行惡意命令。研究者調(diào)查后發(fā)現(xiàn)�����,這種機(jī)制被用于挖礦��。
除了 rest-client�����,還有其它 10 個(gè) Ruby 庫(kù)也中招����,但它們都是通過(guò)使用另一個(gè)功能齊全的庫(kù)添加惡意代碼,然后以新名稱(chēng)在 RubyGems 上重新上傳而創(chuàng)建的��。
研究人員分別統(tǒng)計(jì)了這些惡意版本在被移除前被下載的次數(shù),一共被下載了三千多次���,其中 rest-client 1.6.13 被下載了一千多次:
-
rest-client:1.6.10(下載 176 次)���,1.6.11(下載 2 次),1.6.12(下載 3 次)和 1.6.13 (下載 1061 次)
-
bitcoin_vanity:4.3.3(下載 8 次)
-
lita_coin:0.0.3(下載 210 次)
-
即將推出:0.2.8(下載211次)
-
omniauth_amazon:1.0.1(下載 193 次)
-
cron_parser:0.1.4(下載 2 次)����,1.0.12(下載 3 次) )和 1.0.13(下載 248 次)
-
coin_base:4.2.1(下載 206 次)和 4.2.2(下載 218 次)
-
blockchain_wallet:0.0.6(下載 201 次)和 0.0.7(下載 222 次)
-
awesome-bot:1.18.0(下載 232 次)
-
doge-coin:1.0.2(下載 213 次)
-
capistrano-colors:0.5.5(下載 175 次)
安全起見(jiàn),建議在依賴(lài)關(guān)系樹(shù)中刪除這些庫(kù)版本�,或者升級(jí)/降級(jí)到安全版本,詳情查看:
https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie
