Бэкдор позволял выполнять любой код в приложениях или на web-сайтах, содержащих библиотеку «strong_password».
Разработчик Тьют Коста (Tute Costa) нашел бэкдор в Ruby библиотеке «strong_password», с помощью которого злоумышленники могли выполнять любой код в приложениях, содержащих данную библиотеку.
Как выяснил Коста, вредоносный код проверял, в каком окружении находится библиотека, — в тестовом или производственном. Если в производственном, то код загружал с Pastebin дополнительный вредоносный модуль, служащий в качестве бэкдора в приложениях или на web-сайтах, использующих библиотеку «strong_password».
Бэкдор отправлял URL каждого зараженного сайта на «smiley.zzz.com.ua», а затем ожидал инструкций, которые получал в виде запакованных cookie-файлов.
Обнаружив проблему, Коста предпринял попытку связаться с настоящим владельцем библиотеки, однако оказалось, что аккаунт на RubyGems, принадлежащий разработчику, был перехвачен злоумышленником. В этом аккаунте хакер разместил вредоносную версию «strong_password» 0.0.7, содержащую бэкдор. Согласно статистике RubyGems, вредоносную версию успели загрузить 537 раз.
Коста сообщил владельцу библиотеки и службе безопасности RubyGems о находке. Вредоносная версия была удалена из репозитория в течении недели после загрузки.
Похожий инцидент случился в апреле этого года, когда хакер взломал библиотеку Bootstrap-Sass Ruby с почти идентичным механизмом внедрения бэкдора.
