พบ Backdoor ในไลบรารี่บน RubyGems

มีการค้นพบไลบรารี่ชื่อ strong_password บน RubyGems (Repository package ของ Ruby) ว่าถูกฝัง Backdoor ซึ่งสามารถทำให้แฮ็กเกอร์สามารถลอบรันโค้ดในแอปที่ใช้ไลบรารี่ดังกล่าวได้

ไอเดียก็คือจะมีโค้ดที่ใช้เช็คว่าไลบรารี่อยู่ในสภาวะแวดล้อมทดสอบหรือ Production ซึ่งหากเป็นระบบจริงมัลแวร์จะทำการดาวน์โหลด Payload เพิ่มจาก Pastebin.com ทั้งนี้ Backdoor จะทำการส่ง URL ของไซต์ที่ตกเป็นเหยื่อไปหาโดเมน ‘smiley.zzz.com.ua’ และรอคำสั่งกลับมาในรูปแบบของไฟล์ Cookie จากนั้นจะ Unpack และ Execute คำสั่งด้วยฟังก์ชัน Eval

อย่างไรก็ตามหลังจากนักพัฒนาได้พบ Backdoor โดยบังเอิญระหว่างการอัปเดตส่วนประกอบภายในแอปของตนก็ได้แจ้งให้เจ้าของโปรเจ็คบน RubyGems ทราบจึงพบว่าแฮ็กเกอร์ได้สวมรอยออกไลบรารี่ในเวอร์ชัน 0.0.7 ซึ่งมีผู้ดาวน์โหลดไปแล้วกว่า 537 ครั้ง แต่เคราะห์ดีที่ไม่พบการอัปโหลดมัลแวร์ไปยัง GitHub รวมถึงเจ้าของโปรเจ็คได้ทำการลบไลบรารี่เวอร์ชันของแฮ็กเกอร์ออกไปเรียบร้อยแล้ว ทั้งนี้ผู้ใช้งานไลบรารี่ strong_password มักเป็นกลุ่มที่ต้องมีการบริหารจัดการบัญชีของผู้ใช้ ดังนั้นแนะนำผู้เกี่ยวข้องว่าควรตรวจสอบเหตุการณ์รั่วไหลกันด้วยนะครับ

ที่มา :  https://www.zdnet.com/article/backdoor-found-in-ruby-library-for-checking-for-strong-passwords/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ

เปิดตัวศูนย์ True IDC Regional Command Center ยกระดับสู่ยุคใหม่ของบริการ Managed Services

True IDC ยกระดับบริการ Managed Services ไปอีกขั้น ด้วยการเปิดให้บริการ Regional Command Center ที่รวมศูนย์การควบคุม สั่งการ และเฝ้าระวัง True IDC Data Center …