В Ruby-библиотеке strong_password обнаружили вредоносный код

В популярном пакете strong_password, созданном для проверки надежности пользовательских паролей, нашли вредоносный код. Так, "обновленная" версия библиотеки проверяла, не используется ли она в тестовой среде, и если нет – загружала с Pastebin.com бэкдор.

После «активации» бэкдор связывался с ресурсом smiley.zzz.com[.]ua и ожидал дальнейших инструкций, которые получал в форме файлов cookie, распаковывая и выполняя их через eval (execute). В результате атакующие получали возможность выполнить произвольный код внутри приложения с зараженной библиотекой.

Первым на проблему обратил внимание разработчик Тут Коста (Tute Costa), во время проведения обычного аудита и обновления зависимостей своего приложения. Пытаясь разобраться в происходящем, Коста связался с разработчиком библиотеки и обнаружил, что злоумышленник подменил собой настоящего автора strong_password в репозитории RubyGems и обнародовал новую версию пакета.

Вредоносный код был добавлен в strong_password с релизом версии 0.0.7, 25 июня 2019 года, которую, согласно статистике RubyGems, успели загрузить 537 пользователей. Подчеркивается, что сделанные атакующим изменения не коснулись GitHub-репозитория проекта, так как скомпрометирован был только RubyGems.

В настоящее время вредоносная версия strong_password уже удалена командой безопасности RubyGems. Всем потенциальным пострадавшим рекомендуется немедленно вернуться к использованию версии 0.0.6, а также выполнить тщательный аудит своих проектов.

Стоит сказать, что это не первый подобный инцидент за последнее время. Весной текущего года похожая компрометация также произошла с Ruby-библиотекой Bootstrap-Sass.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.