พบ Backdoor ในไลบรารี่บน RubyGems

มีการค้นพบไลบรารี่ชื่อ strong_password บน RubyGems (Repository package ของ Ruby) ว่าถูกฝัง Backdoor ซึ่งสามารถทำให้แฮ็กเกอร์สามารถลอบรันโค้ดในแอปที่ใช้ไลบรารี่ดังกล่าวได้

ไอเดียก็คือจะมีโค้ดที่ใช้เช็คว่าไลบรารี่อยู่ในสภาวะแวดล้อมทดสอบหรือ Production ซึ่งหากเป็นระบบจริงมัลแวร์จะทำการดาวน์โหลด Payload เพิ่มจาก Pastebin.com ทั้งนี้ Backdoor จะทำการส่ง URL ของไซต์ที่ตกเป็นเหยื่อไปหาโดเมน ‘smiley.zzz.com.ua’ และรอคำสั่งกลับมาในรูปแบบของไฟล์ Cookie จากนั้นจะ Unpack และ Execute คำสั่งด้วยฟังก์ชัน Eval

อย่างไรก็ตามหลังจากนักพัฒนาได้พบ Backdoor โดยบังเอิญระหว่างการอัปเดตส่วนประกอบภายในแอปของตนก็ได้แจ้งให้เจ้าของโปรเจ็คบน RubyGems ทราบจึงพบว่าแฮ็กเกอร์ได้สวมรอยออกไลบรารี่ในเวอร์ชัน 0.0.7 ซึ่งมีผู้ดาวน์โหลดไปแล้วกว่า 537 ครั้ง แต่เคราะห์ดีที่ไม่พบการอัปโหลดมัลแวร์ไปยัง GitHub รวมถึงเจ้าของโปรเจ็คได้ทำการลบไลบรารี่เวอร์ชันของแฮ็กเกอร์ออกไปเรียบร้อยแล้ว ทั้งนี้ผู้ใช้งานไลบรารี่ strong_password มักเป็นกลุ่มที่ต้องมีการบริหารจัดการบัญชีของผู้ใช้ ดังนั้นแนะนำผู้เกี่ยวข้องว่าควรตรวจสอบเหตุการณ์รั่วไหลกันด้วยนะครับ

ที่มา :  https://www.zdnet.com/article/backdoor-found-in-ruby-library-for-checking-for-strong-passwords/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cyber Elite เปิดศูนย์ CSOC บริการเฝ้าระวังและรับมือภัยคุกคามไซเบอร์แบบครบวงจร

ในปัจจุบัน หลายองค์กรทั่วโลกต่างพลิกโฉมธุรกิจของตนสู่การเป็นธุรกิจดิจิทัลมากขึ้น สินค้าและบริการต่างถูกนำเสนอในรูปแบบออนไลน์ ผ่านอินเทอร์เน็ต และแอปพลิเคชันบนสมาร์ตโฟนเป็นจำนวนมาก เหล่านี้ก่อให้เกิดช่องทางที่อาชญากรไซเบอร์จะใช้โจมตีระบบขององค์กรได้มากขึ้น การรับมือกับภัยคุกคามไซเบอร์ในสมัยก่อนที่รอให้เกิดเหตุก่อนแล้วค่อยจัดการเป็นกรณีๆ ไป ไม่สามารถใช้ได้กับภัยคุกคามปัจจุบันที่มีความซับซ้อนและรุนแรง ซึ่งอาจทำให้ธุรกิจหยุดชะงักได้ทันทีหรือเสี่ยงถูกลูกค้าฟ้องร้องได้อีกต่อไป

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission