在流行的Bootstrap-Sass Ruby庫中找到后門代碼

發(fā)現(xiàn)后門代碼已添加到流行的Ruby庫中，該庫用于Ruby和Ruby on Rails應(yīng)用程序中的前端用戶界面。惡意代碼是通過庫更新刪除的。

受此事件影響的庫是引導(dǎo)，薩斯，一個Ruby包，為開發(fā)者提供一個無禮的-version 引導(dǎo)，對于開發(fā)商目前最流行的UI框架。

后門程序的存在于上周3月27日曝光，當(dāng)時軟件開發(fā)人員Derek Barnes發(fā)現(xiàn)有人刪除了該庫的一個版本(Bootstrap-Sass v3.2.0.2)并立即發(fā)布了一個新版本，即稍后的v3。 2.0.3。

引起巴恩斯注意此版本的是這樣的事實，即更改僅在RubyGems(一個用于Ruby庫的流行存儲庫)上進(jìn)行，而不是在管理該庫的源代碼的GitHub上進(jìn)行的。

庫將RUBY應(yīng)用程序公開以執(zhí)行遠(yuǎn)程代碼

在檢查RubyGems上發(fā)布的v3.2.03代碼時，Barnes發(fā)現(xiàn)了他所描述的“有趣的外觀代碼”。

據(jù)網(wǎng)絡(luò)安全公司Bad Packets的一位成員稱，此代碼嵌入Ruby或Ruby on Rails(流行的Ruby框架)后，將加載cookie文件并執(zhí)行其內(nèi)容，他確認(rèn)該庫更新具有惡意性質(zhì)。ZDNet。

在報告后的同一天，后門已從RubyGems中刪除。Bootstrap-Sass團(tuán)隊還撤回了他們認(rèn)為自己的帳戶已被盜用并用于推送惡意代碼的開發(fā)人員的RubyGems訪問權(quán)限。

Bootstrap-Sass v3.2.0.4也在昨天在RubyGems和GitHub上發(fā)布，以刪除任何后門剩菜。此更新還應(yīng)觸發(fā)通知，以供開發(fā)人員將其代碼更新為此新版本，并從現(xiàn)有項目中刪除所有后門。

受影響的項目很少

但是，受影響的項目數(shù)量很少，因為該庫的最新版本是Bootstrap-Sass v3.4.1，很少有開發(fā)人員使用較舊的分支。

網(wǎng)絡(luò)安全公司Snyk說：“快速分析顯示，大約有1,670個GitHub存儲庫可能已通過直接使用暴露給了惡意庫。”該公司還分析了后門程序。“將其在應(yīng)用程序中的使用情況視為傳遞依賴項時，該數(shù)字將顯著增加。”

根據(jù)RubyGems官方統(tǒng)計，Bootstrap-Sass庫已從RubyGems門戶網(wǎng)站下載了近2800萬次。但是，這些都是歷史數(shù)據(jù)，并不能全部反映出后門版本的下載量。在撰寫本文時，后門v3.2.0.3的下載量僅為1,477。