发现后门代码已添加到流行的Ruby库中,该库用于Ruby和Ruby on Rails应用程序中的前端用户界面。恶意代码是通过库更新删除的。
受此事件影响的库是引导,萨斯,一个Ruby包,为开发者提供一个无礼的-version 引导,对于开发商目前最流行的UI框架。
后门程序的存在于上周3月27日曝光,当时软件开发人员Derek Barnes发现有人删除了该库的一个版本(Bootstrap-Sass v3.2.0.2)并立即发布了一个新版本,即稍后的v3。 2.0.3。
引起巴恩斯注意此版本的是这样的事实,即更改仅在RubyGems(一个用于Ruby库的流行存储库)上进行,而不是在管理该库的源代码的GitHub上进行的。
库将RUBY应用程序公开以执行远程代码
在检查RubyGems上发布的v3.2.03代码时,Barnes发现了他所描述的“有趣的外观代码”。
据网络安全公司Bad Packets的一位成员称,此代码嵌入Ruby或Ruby on Rails(流行的Ruby框架)后,将加载cookie文件并执行其内容,他确认该库更新具有恶意性质。ZDNet。
在报告后的同一天,后门已从RubyGems中删除。Bootstrap-Sass团队还撤回了他们认为自己的帐户已被盗用并用于推送恶意代码的开发人员的RubyGems访问权限。
Bootstrap-Sass v3.2.0.4也在昨天在RubyGems和GitHub上发布,以删除任何后门剩菜。此更新还应触发通知,以供开发人员将其代码更新为此新版本,并从现有项目中删除所有后门。
受影响的项目很少
但是,受影响的项目数量很少,因为该库的最新版本是Bootstrap-Sass v3.4.1,很少有开发人员使用较旧的分支。
网络安全公司Snyk说:“快速分析显示,大约有1,670个GitHub存储库可能已通过直接使用暴露给了恶意库。”该公司还分析了后门程序。“将其在应用程序中的使用情况视为传递依赖项时,该数字将显着增加。”
根据RubyGems官方统计,Bootstrap-Sass库已从RubyGems门户网站下载了近2800万次。但是,这些都是历史数据,并不能全部反映出后门版本的下载量。在撰写本文时,后门v3.2.0.3的下载量仅为1,477。