恶意代码是在流行 Ruby 库 rest-client 的四个版本中首次发现的,荷兰 Ruby 开发人员 Jan Dintel 分析称:“rest-client 中发现的恶意代码会收集受攻击系统的 URL 和环境变量,发送到乌克兰的远程服务器。根据用户设置,可能会包括用户的服务使用凭证,例如数据库、支付服务提供商等。”
另外,代码还包含一个后门机制,允许攻击者将 cookie 文件发送回受攻击的项目,并执行恶意命令。
据了解,这些恶意代码已经存在了一个多月未被他人发现,在恶意库版本被 RubyGems 移除之前,已经累积了 3584 次下载。官方建议如果项目开发者使用了这些库,一定要采取相应的升级或降级措施,使用相对安全的版本。
发现后门代码的 Ruby 库列表:
