Backdoor پیداشده در کتابخانه روبی که با بررسی رمزعبور کار میکند
در پشتی (Backdoor) پیداشده در کتابخانه روبی همزمان با پذیرش کوکیها، رمزعبورتان را بررسی میکند و سپس وارد عمل میشود.
بهتازگی در پشتی (Backdoor) جدیدی در کتابخانهی روبی پیدا شده است. این در پشتی زمانی آشکار شد که مسئول بررسی امنیت یکی از اپلیکیشنها، مشغول بررسیهای دورهای بود. او در حین بررسیهایش متوجه شد کتابخانهی معروف روبی (Ruby) در پشتیای دارد که میزان قدرت رمزعبورهای انتخابی کاربران را میسنجد.
وظیفهی اصلی این کد بدافزار این است که مشخص کند آیا یکی از شرکتهای تولیدی از کتابخانهی روبی بهطور آزمایشی استفاده میشود یا خیر. وقتی مشخص کند کتابخانه برای تولید محصولی استفاده شده، کد بدافزاری دانلودشده از سایت Pastebin.com را هم اجرا میکند. این سایت درحقیقت پرتالی برای ذخیرهی متن و این کد بدافزاری همان چیزی است که در پشتی را در اپلیکیشنها و وبسایتهایی ایجاد میکند که از کتابخانهی روبی استفاده میکنند. نام این کد «رمزعبور قوی» است.
فرمانهای کنترلی دریافتشده ازطریق فایلهای کوکی
در پشتی URL سایتهای موردحمله را به آدرس smiley.zzz.com.ua ارسال میکند و منتظر دستورالعمل بعدی میشود. این دستورالعملها فایلهای کوکی هستند که مکانیسم در پشتی آنها را از حالت فشرده خارج و ازطریق فانکشن Eval اجرا میکند. درواقع، این مکانیسم به هکرها اجازه میدهد بتوانند هر کد دلخواهی را در اپلیکیشنهای دارای این در پشتی اجرا کنند.
تیوت کاستا (Tute Costa) مکانیسم در پشتی کتابخانهی روبی را حین انجام بررسیهای امنیتی دورهای کشف کرد که قبل از بهروزرسانی وابستگیهای استفادهشده در اپلیکیشن خودش انجام میداد. وقتی کاستا این مسئله را با صاحب اصلی کتابخانه در میان گذاشت، متوجه شد هکر اینگونه برنامهریزی کرده که در RybyGem، بستهی اصلی زبان روبی، بهعنوان صاحب کتابخانه شناخته شود.
نسخهای از در پشتی کتابخانه ۵۴۷ مرتبه دانلود شد
هکرهایی که از کتابخانهی «رمزعبور قوی» استفاده میکردند، نسخهی جدید از کتابخانهی روبی منتشر کردهاند که با نام نسخهی ۰.۰.۷ آپلود شده و کد در پشتی را در خود دارد. براساس گزارش RubyGem، این کتابخانه ۵۳۷ مرتبه دانلود شده است. این کد بدافزاری هیچگاه در حساب کاربری GitHub کتابخانهی روبی آپلود نشد و فقط در RubyGem منتشر شد.
کاستا به صاحب اصلی کتابخانهی روبی و تیم امنیتی RubyGem اطلاع داد که چنین مشکلی در کتابخانه وجود دارد؛ درنتیجه، نسخهی دارای در پشتی یک هفته پس از آپلود، از RubyGem حذف شد. باوجوداین، چون کتابخانهی «رمزعبور قوی» معمولا در اپلیکیشنها و وبسایتهایی استفاده میشود که حسابهای کاربری کاربران را مدیریت میکنند، همهی پروژههایی که از این کتابخانه استفاده کردهاند، باید امنیت پروژههای خود را بررسی کنند تا جلو هرگونه دسترسی به اطلاعات کاربران یا سرقت اطلاعات آنان گرفته شود.
این اتفاق بهصورت عجیبی مشابه اتفاقی است که در ماه آوریل رخ داد و در آن Bootstrap-Sass کتابخانهی روبی دچار بدافزاری شد و در پشتی با پذیرش کوکیها و سپس اجرای برنامه فعالیت میکرد.
