在流行的Bootstrap-Sass Ruby庫(kù)中找到后門(mén)代碼

發(fā)現(xiàn)后門(mén)代碼已添加到流行的Ruby庫(kù)中，該庫(kù)用于Ruby和Ruby on Rails應(yīng)用程序中的前端用戶界面。惡意代碼是通過(guò)庫(kù)更新刪除的。

受此事件影響的庫(kù)是引導(dǎo)，薩斯，一個(gè)Ruby包，為開(kāi)發(fā)者提供一個(gè)無(wú)禮的-version 引導(dǎo)，對(duì)于開(kāi)發(fā)商目前最流行的UI框架。

后門(mén)程序的存在于上周3月27日曝光，當(dāng)時(shí)軟件開(kāi)發(fā)人員Derek Barnes發(fā)現(xiàn)有人刪除了該庫(kù)的一個(gè)版本(Bootstrap-Sass v3.2.0.2)并立即發(fā)布了一個(gè)新版本，即稍后的v3。 2.0.3。

引起巴恩斯注意此版本的是這樣的事實(shí)，即更改僅在RubyGems(一個(gè)用于Ruby庫(kù)的流行存儲(chǔ)庫(kù))上進(jìn)行，而不是在管理該庫(kù)的源代碼的GitHub上進(jìn)行的。

庫(kù)將RUBY應(yīng)用程序公開(kāi)以執(zhí)行遠(yuǎn)程代碼

在檢查RubyGems上發(fā)布的v3.2.03代碼時(shí)，Barnes發(fā)現(xiàn)了他所描述的“有趣的外觀代碼”。

據(jù)網(wǎng)絡(luò)安全公司Bad Packets的一位成員稱(chēng)，此代碼嵌入Ruby或Ruby on Rails(流行的Ruby框架)后，將加載cookie文件并執(zhí)行其內(nèi)容，他確認(rèn)該庫(kù)更新具有惡意性質(zhì)。ZDNet。

在報(bào)告后的同一天，后門(mén)已從RubyGems中刪除。Bootstrap-Sass團(tuán)隊(duì)還撤回了他們認(rèn)為自己的帳戶已被盜用并用于推送惡意代碼的開(kāi)發(fā)人員的RubyGems訪問(wèn)權(quán)限。

Bootstrap-Sass v3.2.0.4也在昨天在RubyGems和GitHub上發(fā)布，以刪除任何后門(mén)剩菜。此更新還應(yīng)觸發(fā)通知，以供開(kāi)發(fā)人員將其代碼更新為此新版本，并從現(xiàn)有項(xiàng)目中刪除所有后門(mén)。

受影響的項(xiàng)目很少

但是，受影響的項(xiàng)目數(shù)量很少，因?yàn)樵搸?kù)的最新版本是Bootstrap-Sass v3.4.1，很少有開(kāi)發(fā)人員使用較舊的分支。

網(wǎng)絡(luò)安全公司Snyk說(shuō)：“快速分析顯示，大約有1,670個(gè)GitHub存儲(chǔ)庫(kù)可能已通過(guò)直接使用暴露給了惡意庫(kù)。”該公司還分析了后門(mén)程序。“將其在應(yīng)用程序中的使用情況視為傳遞依賴(lài)項(xiàng)時(shí)，該數(shù)字將顯著增加。”

根據(jù)RubyGems官方統(tǒng)計(jì)，Bootstrap-Sass庫(kù)已從RubyGems門(mén)戶網(wǎng)站下載了近2800萬(wàn)次。但是，這些都是歷史數(shù)據(jù)，并不能全部反映出后門(mén)版本的下載量。在撰寫(xiě)本文時(shí)，后門(mén)v3.2.0.3的下載量?jī)H為1,477。