Desenvolvedor Tute Costa encontrou um backdoor na biblioteca Ruby “senha forte”, com o qual os atacantes poderiam executar qualquer código em aplicações que contenham esta biblioteca.
como Costa descobriu, código malicioso verificado em qual ambiente a biblioteca está localizada – em teste ou produção. Se na produção, o código obtido de pastebin um módulo malicioso adicional que serve como uma porta ou em aplicações em web sites que usam o senha forte biblioteca.
O backdoor enviou o URL de cada site infectado para smiley.zzz.com.ua, e esperou por instruções que recebeu na forma de biscoitos embalados.“Em um loop dentro de um novo segmento, depois de esperar por um número aleatório de segundos até cerca de uma hora, ele busca e executa o código armazenado em um pastebin.com, somente se em execução na produção, com um tratamento de exceção vazio que ignora qualquer erro pode levantar”, - relatou Tute Costa.
Tendo descoberto o problema, Costa fez uma tentativa de contato com o proprietário real da biblioteca, mas descobriu-se que conta RubyGems do desenvolvedor foi interceptado por um intruso. Neste relato, o hacker postou uma versão maliciosa de "senha forte" 0.0.7, contendo uma porta. De acordo com estatísticas RubyGems, a versão malicioso foi baixado 537 vezes.
Costa disse o proprietário da biblioteca eo serviço de segurança RubyGems sobre o achado. A versão malicioso foi retirado do repositório dentro de uma semana após o download.
Um incidente semelhante aconteceu em abril deste ano, quando um hacker colidiu com o Bootstrap-Sass biblioteca Ruby com um mecanismo de implantação backdoor quase idêntico.