En flitig utvecklare som säkerhet har upptäckt ett farligt bakdörr i ett populärt Ruby bibliotek för att kontrollera lösenord styrka av användaren valda lösenord.
Den skadliga koden skulle kolla om biblioteket som används i ett test eller produktion miljö. När du är i produktion, det vill ladda ner och köra en andra nyttolast hämtat från Pastebin.com en text värd portal.
Denna andra nyttolasten skulle skapa den faktiska bakdörr i appar och på webbplatser som använder biblioteket — heter strong_password.
Fjärrkontrollen kommandon som mottas via cookie-filer
Bakdörr skulle skicka varje infekterad webbplats URL till “smiley.zzz.com.ua” och sedan vänta på instruktioner.
Instruktionerna var att cookie-filer, som bakdörr mekanism skulle packa upp och köra igenom en “eval” (execute) funktion.
I princip kan denna mekanism skulle ha tillåtit en hacker för att köra valfri kod han ville inuti en app med backdoored bibliotek.
Backdoor: s mekanism upptäcktes av utvecklare Tute Costa under regelbundna säkerhetskontroller han utför innan du uppdaterar beroenden som används inne i hans produktion app.
När Costa nått ut till de bibliotek verkliga ägare, upptäckte han att hackare lyckats ersätta den verkliga utvecklare som biblioteket ägaren på RubyGems, Ruby språket i främsta paketarkiv.
Backdoored biblioteket hämtade 547 gånger
Här hackaren har skapat en ny release för strong_password bibliotek, nämligen version 0.0.7, som innehåller backdoored kod. Enligt RubyGem statistik, 537 användare hämtat detta skadlig version.
Den skadliga koden var aldrig uppladdad på bibliotekets GitHub-konto. Det var endast distribueras via RubyGems.
Costa anmält både biblioteket ägare och RubyGems security team om sin slutsats. Den skadliga version togs bort från RubyGems repo inom en vecka efter att de laddats upp.
Eftersom strong_password bibliotek är oftast används på appar och webbplats för att hantera användarkonton, ett projekt som använder detta bibliotek ska utföra en grundlig säkerhetskontroll för att upptäcka eventuella brott och stöld av användarinformation.
Händelsen är kusligt lik en från April i år när en hacker backdoored Bootstrap-Sass Ruby bibliotek med en nästan identisk cookie-acceptera-och eval-kör bakdörr mekanism.
Relaterade it-säkerhet täckning:
Canonical GitHub-konto hackat, Ubuntu källkoden safeTor Projekt för att fixa en bugg som används för DDoS-attacker på Lök platser för yearsD-Länk till genomgå säkerhetsgranskning för 10 år som en del av FTC settlementUK ISP grupp namn Mozilla ‘Internet Skurk” för att stödja “DNS-över-HTTPS’Croatian regeringen riktade av mystiska hackersUS vill isolera elnät med “retro” – teknik för att begränsa it-attacker iOS utvecklare fortfarande inte att bygga end-to-end-kryptering i apps TechRepublicDe bästa identitetsstöld bevakningstjänster för 2019 CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter