Хакер #305. Многошаговые SQL-инъекции
27 марта 2019 года разработчик Дерек Барнс (Derek Barnes) обратил внимание на странную активность, связанную с популярной Ruby-библиотекой Bootstrap-Sass. Эта библиотека используется на фронтэнде приложений Ruby and Ruby on Rails для реализации UI, и только с портала RubyGems ее суммарно загрузили более 28 000 000 раз.
Барнс заметил, что из репозитория RubyGems вдруг удалили версию Bootstrap-Sass 3.2.0.2 и тут же выложили версию 3.2.0.3, однако эти изменения не коснулись репозитория на GitHub, где исходные коды остались нетронутыми.
Проанализировав код подозрительной версии 3.2.03, Барнс пришел к выводу, что в библиотеку, похоже, внедрили бэкдор. Издание ZDNet сообщает, что это заключение уже подтвердили эксперты ИБ-компании Bad Packets.
Так как Барнс поспешил уведомить о происходящем разработчиков, вредоносную версию библиотеки убрали с RubyGems в тот же день. Кроме того, разработчики сообщают, что у сотрудника, чей аккаунт использовался для внесения этих вредоносных изменений, отозвали доступ, так как он, очевидно, был скомпрометирован.
В настоящее время на RubyGems и GitHub уже опубликована версия Bootstrap-Sass 3.2.0.4, окончательно избавляющая библиотеку от следов бэкдора, а также предупреждающая разработчиков о случившемся и необходимости срочно удалить бэкдор из кода их проектов.
Согласно официальной статистике, вредоносную версию 3.2.0.3 успели загрузить всего 1477 раз. По словам аналитиков ИБ-компании Snyk, которые тоже изучили данный инцидент, в настоящее время риску из-за использования библиотеки могли подвергнуться 1670 GitHub-репозиториев. Однако количество пострадавших может значительно возрасти из-за транзитных зависимостей.