11 个 Ruby 库被植入挖矿后门代码,删除前已被下载 3584 次

2019-08-22 10:37


RubyGems 工作人员表示,他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来,其已被下载 3584 次。如剔除同一库的不同版本,则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码,可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。

(图自:GitHub,via ZDNet)

昨天,人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库,荷兰开发人者 Jan DIntel 分析称:

恶意代码会收集受感染系统的 URL 和环境变量,并将之发送到位于乌克兰的远程服务器。

根据用户的设置,这可能包括当前使用的服务凭证,数据库和支付服务提供商都该倍加小心。

此外,代码包含了一个后门机制,允许攻击者将 cookie 文件发送回受感染的项目中,并执行恶意命令。

RubyGems 工作人员在后续的一次调查中发现,这种机制被滥用并植入了加密货币的挖矿代码,然后又在另外 10 个项目中发现了类似的代码。

据悉,除了 rest-clint 之外的所有库,都调用了另一个功能齐全的库来添加恶意代码,然后以新名称在 RubyGems 重新上传以实现创建。

受影响的 11 个库名如下(具体版本号请移步至官网公告查看 / GitHub 传送门):

rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。

遗憾的是,这个隐匿的计划已经活跃了一个多月,结果期间一直未被他人发现。

到黑客设法访问其中一位客户端开发人员的 RubyGems 账户时,人们才惊觉其在 RubyGems 上推送了四个恶意版本的 rest-clint 。

最终,在所有 18 个恶意库版本被 RubyGems 删除之前,其已经累积了 3584 次下载。

在此,官方建议在关系树中对这些库有依赖的项目开发者,务必采取相应的升级或降级措施,以用上相对安全的版本。

来源:cnBeta.COM

更多资讯

Google 和 Mozilla 正设法阻止哈萨克斯坦 ISP 强制安装证书行为

Google 和 Mozilla 正在采取行动反对哈萨克斯坦政府对其本国公民开展基于证书的监视行动。两家公司今天宣布,他们正在联手在浏览器中阻止哈萨克斯坦政府上个月颁发的根证书,该证书允许它监控任何安装它的用户的加密互联网活动。政府要求该国 ISP 合作,强制所有客户安装证书以获得互联网访问权限。

来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/4954.html 

雪球回应“数据疑被泄露”传闻:网传图片为不实信息

8 月 21 日下午消息,针对用户根据未经证实的网传图片,在某平台发帖称雪球数据可能被泄露一事,雪球发布声明称,该网传图片为不实信息,目前已经就此启动了紧急调查程序,并正在向公安机关进行报案。

来源:新浪科技
详情链接: https://www.dbsec.cn/blog/article/4955.html 

国外成人网站近 120 万用户隐私泄露 被人看光光

近日,据外媒报道,vpnMentor 发布报告称,成人网站 Luscious 的 119.5 万用户个人数据遭泄露,泄露内容包括个人电子邮件地址(部分包含用户全名)。 除此之外,包括用户名、所在地、性别以及用户活动日志也遭到泄露,活动日志包含了视频上传、建立图册、评论、发帖、收藏夹、关注列表等内容。

来源:快科技
详情链接:https://www.dbsec.cn/blog/article/4956.html 

骚扰电话黑色产业链调查:万条个人信息售价千元

“吴先生您好,我们是××早教机构,不知道您家的女儿在上早教课没有?我们机构正在做活动,现在报名享受8折优惠,您有时间也可以带着孩子过来上节体验课。”自从孩子出生后,北京市民吴先生就开始不断接到早教班、游泳班等各种机构打来的骚扰电话,对方不仅知道孩子的性别、大概年龄,还知道家长的姓名、电话等个人信息。近年来,各类骚扰电话禁而不绝,让人不胜其烦。

来源:法制日报
详情链接:https://www.dbsec.cn/blog/article/4957.html 

(信息来源于网络,安华金和搜集整理)