SUSE by Ingram

พบ Backdoor ในไลบรารี่บน RubyGems

มีการค้นพบไลบรารี่ชื่อ strong_password บน RubyGems (Repository package ของ Ruby) ว่าถูกฝัง Backdoor ซึ่งสามารถทำให้แฮ็กเกอร์สามารถลอบรันโค้ดในแอปที่ใช้ไลบรารี่ดังกล่าวได้

ไอเดียก็คือจะมีโค้ดที่ใช้เช็คว่าไลบรารี่อยู่ในสภาวะแวดล้อมทดสอบหรือ Production ซึ่งหากเป็นระบบจริงมัลแวร์จะทำการดาวน์โหลด Payload เพิ่มจาก Pastebin.com ทั้งนี้ Backdoor จะทำการส่ง URL ของไซต์ที่ตกเป็นเหยื่อไปหาโดเมน ‘smiley.zzz.com.ua’ และรอคำสั่งกลับมาในรูปแบบของไฟล์ Cookie จากนั้นจะ Unpack และ Execute คำสั่งด้วยฟังก์ชัน Eval

อย่างไรก็ตามหลังจากนักพัฒนาได้พบ Backdoor โดยบังเอิญระหว่างการอัปเดตส่วนประกอบภายในแอปของตนก็ได้แจ้งให้เจ้าของโปรเจ็คบน RubyGems ทราบจึงพบว่าแฮ็กเกอร์ได้สวมรอยออกไลบรารี่ในเวอร์ชัน 0.0.7 ซึ่งมีผู้ดาวน์โหลดไปแล้วกว่า 537 ครั้ง แต่เคราะห์ดีที่ไม่พบการอัปโหลดมัลแวร์ไปยัง GitHub รวมถึงเจ้าของโปรเจ็คได้ทำการลบไลบรารี่เวอร์ชันของแฮ็กเกอร์ออกไปเรียบร้อยแล้ว ทั้งนี้ผู้ใช้งานไลบรารี่ strong_password มักเป็นกลุ่มที่ต้องมีการบริหารจัดการบัญชีของผู้ใช้ ดังนั้นแนะนำผู้เกี่ยวข้องว่าควรตรวจสอบเหตุการณ์รั่วไหลกันด้วยนะครับ

ที่มา :  https://www.zdnet.com/article/backdoor-found-in-ruby-library-for-checking-for-strong-passwords/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] สรุปงาน FMS 28th Celebration & Customer Day 2020

เมื่อวันอังคารที่ 12 มกราคม 2564 ที่ผ่านมา บริษัท ฟอร์เวิร์ด แมเนจเม้นท์ เซอร์วิส จำกัด (FMS) ร่วมกับ Huawei Cloud, Sage Asia, AutoSimply (จาก HongKong), Peresoft (จาก South Africa), PacificTech …

ปกป้องข้อมูลสำคัญตาม GDPR/PDPA ด้วย Encryption และ Data Masking จาก Entrust

การปกป้องข้อมูลสำคัญและการเข้าถึงข้อมูลส่วนบุคคลอย่างถูกกฎหมายเป็นความท้าทายที่ทุกองค์กรทั่วไทยกำลังเผชิญ เนื่องจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำลังบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ บทความนี้จะมาแนะนำโซลูชัน Encryption และ Data Masking ของ Entrust …