Backdoor پیداشده در کتابخانه روبی با بررسی رمزعبور کار می‌کند

در پشتی (Backdoor) پیداشده در کتابخانه روبی هم‌زمان با پذیرش کوکی‌ها، رمزعبورتان را بررسی می‌کند و سپس وارد عمل می‌شود.

Backdoor پیداشده در کتابخانه روبی با بررسی رمزعبور کار می‌کند

به‌تازگی در پشتی (Backdoor) جدیدی در کتابخانه‌ی روبی پیدا شده است. این در پشتی زمانی آشکار شد که مسئول بررسی امنیت یکی از اپلیکیشن‌ها، مشغول بررسی‌های دوره‌ای بود. او در حین بررسی‌هایش متوجه شد کتابخانه‌ی معروف روبی (Ruby) در پشتی‌ای دارد که میزان قدرت رمزعبورهای انتخابی کاربران را می‌سنجد.
مقاله‌ی مرتبط:

آسیب‌پذیری Back Door یا در پشتی چیست؟

وظیفه‌ی اصلی این کد بدافزار این است که مشخص کند آیا یکی از شرکت‌های تولیدی از کتابخانه‌ی روبی به‌طور آزمایشی استفاده می‌شود یا خیر. وقتی مشخص کند کتابخانه برای تولید محصولی استفاده شده، کد بدافزاری دانلودشده از سایت Pastebin.com را هم اجرا می‌کند. این سایت درحقیقت پرتالی برای ذخیره‌ی متن و این کد بدافزاری همان چیزی است که در پشتی را در اپلیکیشن‌ها و وب‌سایت‌هایی ایجاد می‌کند که از کتابخانه‌ی روبی استفاده می‌کنند. نام این کد «رمزعبور قوی» است.
فرمان‌های کنترلی دریافت‌شده ازطریق فایل‌های کوکی

در پشتی URL سایت‌های موردحمله را به آدرس smiley.zzz.com.ua ارسال می‌کند و منتظر دستورالعمل بعدی می‌شود. این دستورالعمل‌ها فایل‌های کوکی هستند که مکانیسم در پشتی آن‌ها را از حالت فشرده خارج و ازطریق فانکشن Eval اجرا می‌کند. درواقع، این مکانیسم به هکرها اجازه می‌دهد بتوانند هر کد دلخواهی را در اپلیکیشن‌های دارای این در پشتی اجرا کنند.

تیوت کاستا (Tute Costa) مکانیسم در پشتی کتابخانه‌ی روبی را حین انجام بررسی‌های امنیتی دوره‌ای کشف کرد که قبل از به‌روزرسانی وابستگی‌های استفاده‌شده در اپلیکیشن خودش انجام می‌داد. وقتی کاستا این مسئله را با صاحب اصلی کتابخانه در میان گذاشت، متوجه شد هکر این‌گونه برنامه‌ریزی کرده که در RybyGem، بسته‌ی اصلی زبان روبی، به‌عنوان صاحب کتابخانه شناخته شود.
نسخه‌ای از در پشتی کتابخانه ۵۴۷ مرتبه دانلود شد

هکرهایی که از کتابخانه‌ی «رمزعبور قوی» استفاده می‌کردند، نسخه‌ی جدید از کتابخانه‌ی روبی منتشر کرده‌اند که با نام نسخه‌ی 0.0.7 آپلود شده و کد در پشتی را در خود دارد. براساس گزارش RubyGem، این کتابخانه ۵۳۷ مرتبه دانلود شده‌ است. این کد بدافزاری هیچ‌گاه در حساب کاربری GitHub کتابخانه‌ی روبی آپلود نشد و فقط در RubyGem منتشر شد.

کاستا به صاحب اصلی کتابخانه‌ی روبی و تیم امنیتی RubyGem اطلاع داد که چنین مشکلی در کتابخانه وجود دارد؛ درنتیجه، نسخه‌ی دارای در پشتی یک هفته پس از آپلود، از RubyGem حذف شد. باوجوداین، چون کتابخانه‌ی «رمزعبور قوی» معمولا در اپلیکیشن‌ها و وب‌سایت‌هایی استفاده می‌شود که حساب‌های کاربری کاربران را مدیریت می‌کنند، همه‌ی پروژه‌هایی که از این کتابخانه استفاده کرده‌اند، باید امنیت پروژه‌های خود را بررسی کنند تا جلو هرگونه دسترسی به اطلاعات کاربران یا سرقت اطلاعات آنان گرفته شود.

این اتفاق به‌صورت عجیبی مشابه اتفاقی است که در ماه آوریل رخ داد و در آن Bootstrap-Sass کتابخانه‌ی روبی دچار بدافزاری شد و در پشتی با پذیرش کوکی‌ها و سپس اجرای برنامه فعالیت می‌کرد.

 

منبع : زومیت