在流行的Bootstrap-Sass Ruby庫中找到后門代碼

發(fā)現(xiàn)后門代碼已添加到流行的Ruby庫中，該庫用于Ruby和Ruby on Rails應(yīng)用程序中的前端用戶界面。惡意代碼是通過庫更新刪除的。

受此事件影響的庫是引導(dǎo)，薩斯，一個(gè)Ruby包，為開發(fā)者提供一個(gè)無禮的-version 引導(dǎo)，對于開發(fā)商目前最流行的UI框架。

后門程序的存在于上周3月27日曝光，當(dāng)時(shí)軟件開發(fā)人員Derek Barnes發(fā)現(xiàn)有人刪除了該庫的一個(gè)版本(Bootstrap-Sass v3.2.0.2)并立即發(fā)布了一個(gè)新版本，即稍后的v3。 2.0.3。

引起巴恩斯注意此版本的是這樣的事實(shí)，即更改僅在RubyGems(一個(gè)用于Ruby庫的流行存儲(chǔ)庫)上進(jìn)行，而不是在管理該庫的源代碼的GitHub上進(jìn)行的。

庫將RUBY應(yīng)用程序公開以執(zhí)行遠(yuǎn)程代碼

在檢查RubyGems上發(fā)布的v3.2.03代碼時(shí)，Barnes發(fā)現(xiàn)了他所描述的“有趣的外觀代碼”。

據(jù)網(wǎng)絡(luò)安全公司Bad Packets的一位成員稱，此代碼嵌入Ruby或Ruby on Rails(流行的Ruby框架)后，將加載cookie文件并執(zhí)行其內(nèi)容，他確認(rèn)該庫更新具有惡意性質(zhì)。ZDNet。

在報(bào)告后的同一天，后門已從RubyGems中刪除。Bootstrap-Sass團(tuán)隊(duì)還撤回了他們認(rèn)為自己的帳戶已被盜用并用于推送惡意代碼的開發(fā)人員的RubyGems訪問權(quán)限。

Bootstrap-Sass v3.2.0.4也在昨天在RubyGems和GitHub上發(fā)布，以刪除任何后門剩菜。此更新還應(yīng)觸發(fā)通知，以供開發(fā)人員將其代碼更新為此新版本，并從現(xiàn)有項(xiàng)目中刪除所有后門。

受影響的項(xiàng)目很少

但是，受影響的項(xiàng)目數(shù)量很少，因?yàn)樵搸斓淖钚掳姹臼荁ootstrap-Sass v3.4.1，很少有開發(fā)人員使用較舊的分支。

網(wǎng)絡(luò)安全公司Snyk說：“快速分析顯示，大約有1,670個(gè)GitHub存儲(chǔ)庫可能已通過直接使用暴露給了惡意庫。”該公司還分析了后門程序。“將其在應(yīng)用程序中的使用情況視為傳遞依賴項(xiàng)時(shí)，該數(shù)字將顯著增加。”

根據(jù)RubyGems官方統(tǒng)計(jì)，Bootstrap-Sass庫已從RubyGems門戶網(wǎng)站下載了近2800萬次。但是，這些都是歷史數(shù)據(jù)，并不能全部反映出后門版本的下載量。在撰寫本文時(shí)，后門v3.2.0.3的下載量僅為1,477。