开发者移除18个版本中 11 个带有后门的 Ruby 库

RubyGems 软件包存储库的维护者近期移除了 18个版本的11 个 恶意Ruby 库，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。

恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。

除了 rest-client，还有其它 10 个 Ruby 库也中招，但它们都是通过使用另一个功能齐全的库添加恶意代码，然后以新名称在 RubyGems 上重新上传而创建的。

这个计划活跃了一个多月，而且他们的行为没有被发现。

当黑客控制了一个开发人员的RubyGems账户时，在这个账户上推送了四个恶意版本的rest-client。

然而，通过瞄准这样一个在RubyGems上总下载量超过1.13亿次的知名项目，黑客也为他们的操作带来了许多不确定性，在用户第一次发现恶意代码后几个小时内就被删除了。

研究人员分别统计了这些恶意版本在被移除前被下载的次数，一共被下载了三千多次，其中 rest-client 1.6.13 被下载了一千多次：

rest-client：1.6.10（下载 176 次），1.6.11（下载 2 次），1.6.12（下载 3 次）和 1.6.13 （下载 1061 次）

bitcoin_vanity：4.3.3（下载 8 次）

lita_coin：0.0.3（下载 210 次）

coming-soon：0.2.8（下载211次）

omn​​iauth_amazon：1.0.1（下载 193 次）

cron_parser：0.1.4（下载 2 次），1.0.12（下载 3 次） ）和 1.0.13（下载 248 次）

coin_ba se：4.2.1（下载 206 次）和 4.2.2（下载 218 次）

blockchain_wallet：0.0.6（下载 201 次）和 0.0.7（下载 222 次）

awesome-bot：1.18.0（下载 232 次）

doge-coin：1.0.2（下载 213 次）

capistrano-colors：0.5.5（下载 175 次）

安全起见，建议在依赖关系树中删除这些库版本，或者升级/降级到安全版本。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie