• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    迪恩网络公众号

Ruby包管理器被爆存在725个带后门的库

原作者: [db:作者] 来自: [db:来源] 收藏 邀请


脚本类语言的第三方库由于支持用户上传,这也就导致了和第三方应用市场一样的悲剧:容易混入恶意软件。

此前的Python的PyPi库就曾经混入了恶意Python库。

▲恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG**

而近日,Ruby 的包管理器RubyGems再次被曝在725个Ruby库中发现剪贴板劫持恶意软件,该类恶意软件通常是一直在电脑运行并监控受害者的剪贴板内容,一旦监控到银行卡号或者比特币地址,就会将其替换成攻击者自身的地址,从而试图让受害者一不小心成为送财童子。

RubyGems 旨在方便地管理 gem 安装的工具,以及用于分发 gem 的服务器。这类似于 Ubuntu 下的apt-get, Centos 的 yum,Python 的 pip。该存储库包含大约15.8万个软件包(称为gems),总下载量接近490亿。一般而言,gem文件是Tape ARchive(TAR),其基本结构如下:

reversing实验室为了找到这些库中是否有恶意代码,因此将20,830个gem文件全部解包,其中12,720个是独立不重复的。结果发现里面存在部分PE文件,即可执行文件。

通过筛选这些PE文件,发现都包含相同文件名"aaa.png" 的可执行文件,位于每个gem的相同路径中:“ /ext/trellislike/unflaming/waffling/ ”

这些gem都来自两个不同的账户JimCarrey和PeterGibbons

其中名为atlas-client (地图)的恶意库被大量下载,此恶意gem的下载量为2100次,接近真正的atlas_client的总下载量的30%,可以看到,他只是把下划线改成了横线。

该恶意库的除去正常的功能外,隐蔽功能便是将上面提到的aaa.png重命名为a.exe,然后执行。

a.exe实际上也是一个ruby编写的打包后的程序,主要功能便是释放并运行oh.vbs,解码之后如下所示,代码很简单,肉眼可见主要功能就是替换剪贴板的比特币地址,可以看到他的比特币地址就在代码中写着。

事件大致如此,主要是700多个量还是蛮大的,影响面也是有,但是有趣的是,目前该比特币地址分文未尽,也许安装恶意库的Ruby程序员或者用户普遍没有进行比特币交易吧。

目前官方已经被移除恶意库。

以下为恶意库列表,Ruby程序员可以进去核准是否有用过,以便及时更新程序,防止扩散。

https://blog.reversinglabs.com/hubfs/Blog/ruby_malicious_gems.txt

主要是看见好几个阿里云和支付宝为名的库,同样是一样的手法,将下划线改成了横线,然后居然过审了。所以很有可能国内也会中招。

值得注意的是,去年末,RubyGems还曾被曝光拥有18 个包含后门机制的恶意版本的 Ruby 库,启用带这些库的Ruby项目会被自动挖矿。

参考链接:

https://blog.reversinglabs.com/blog/mining-for-malicious-ruby-gems

上期阅读

黑客以50万美元价格出售Zoom的远程代码执行漏洞

点再看,动力up


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
Xcode无法安装基于ruby的插件问题的解决发布时间:2022-07-14
下一篇:
Linux下搭建ruby on rails环境发布时间:2022-07-14
热门推荐
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap