Ruby被植入惡意挖礦后門代碼？

RubyGems 工作人員表示，他們已經移除了 18 個包含后門機制的惡意版本 Ruby 庫。

自 7 月 8 日以來，其已被下載 3584 次。如剔除同一庫的不同版本，則有 11 個 Ruby 庫被污染。

這些 Ruby 庫被軟件包存儲庫的惡意維護者破解并植入了后門代碼，可在其他人啟用的 Ruby 項目中開展隱匿的加密貨幣挖掘任務。

（圖自：GitHub，via ZDNet）

昨天，人們在四個版本的 rest-client 中首次發現。作為一個相當流行的 Ruby 庫，荷蘭開發人者 Jan DIntel 分析稱：

惡意代碼會收集受感染系統的 URL 和環境變量，并將之發送到位于烏克蘭的遠程服務器。

根據用戶的設置，這可能包括當前使用的服務憑證，數據庫和支付服務提供商都該倍加小心。

此外，代碼包含了一個后門機制，允許攻擊者將 cookie 文件發送回受感染的項目中，并執行惡意命令。

RubyGems 工作人員在后續的一次調查中發現，這種機制被濫用并植入了加密貨幣的挖礦代碼，然后又在另外 10 個項目中發現了類似的代碼。

據悉，除了 rest-clint 之外的所有庫，都調用了另一個功能齊全的庫來添加惡意代碼，然后以新名稱在 RubyGems 重新上傳以實現創建。

受影響的 11 個庫名如下（具體版本號請移步至官網公告查看 / GitHub 傳送門）：

rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。

遺憾的是，這個隱匿的計劃已經活躍了一個多月，結果期間一直未被他人發現。

直到黑客設法訪問其中一位客戶端開發人員的 RubyGems 賬戶時，人們才驚覺其在 RubyGems 上推送了四個惡意版本的 rest-clint 。

最終，在所有 18 個惡意庫版本被 RubyGems 刪除之前，其已經累積了 3584 次下載。

在此，官方建議在關系樹中對這些庫有依賴的項目開發者，務必采取相應的升級或降級措施，以用上相對安全的版本。