Mã độc được cài vào hệ thống đào tiền ảo

Theo ZDNet, các nhân viên của RubyGems đã xóa bỏ 18 phiên bản thư viện Ruby độc hại, được download tổng cộng 3.584 lần kể từ ngày 8 tháng 7.

Các nhân viên bảo trì các kho package đã xóa bỏ 18 phiên bản của 11 thư viện Ruby bị cài mã backdoor. Các mã độc này được phát hiện đang cài thêm mã đào tiền ảo vào các dự án trên Ruby của người dùng.

Mã độc này mới được phát hiện gần đây trong 4 phiên bản của rest-client – một thư viện vô cùng phổ biến của Ruby.

Theo phân tích của Jan Dintel, một nhà phát triển người Hà Lan, tại Ruby, mã độc bên trong rest-client này sẽ thu thập và gửi những biến URL và môi trường tới một máy chủ đặt tại Ukraine.

“Và tùy vào cài đặt của người dùng, mã độc này sẽ có thể lấy được thông tin các dịch vụ như kho dữ liệu, thanh toán, nhà cung cấp dịch vụ…” Dintel chia sẻ.

Mã độc được cài vào hệ thống đào tiền ảo.

Mã cũng bao gồm 1 backdoor cho phép tin tặc có thể truyền lại tệp cookie và dự án của người dùng, qua đó đưa ra các lệnh độc.

Sau khi tìm hiểu sâu hơn về vấn đề, các nhân viên của RubyGems đã phát hiện ra rằng backdoor được sử dụng để cài thêm mã đào tiền ảo vào các dự án. Ngoài ra, mã độc này cũng được cài vào 10 dự án sau:

• rest-client: 6.10 (được tải 176 lần tính từ 13/08/2019), 1.6.11 (được tải 2 lần tính từ 14/08/2019), 1.6.12 (được tải 3 lần tính từ 14/08/2019), và 1.6.13 (được tải 1.061 lần tính từ 14/08/2019)
• bitcoin_vanity: 3.3 (được tải 8 lần tính từ 12/05/2019)
• lita_coin: 0.0.3 (được tải 210 lần tính từ 17/07/2019)
• coming-soon: 0.2.8 (được tải 211 lần tính từ 17/07/2019)
• omniauth_amazon: 1.0.1 (được tải 193 lần tính từ 26/07/2019)
• cron_parser: 0.1.4 (được tải 2 lần tính từ 08/07/2019), 1.0.12 (được tải 3 lần tính từ 08/07/2019), and 1.0.13 (được tải 248 lần tính từ 08/07/2019)
• coin_base: 4.2.1 (được tải 206 lần tính từ 09/07/2019) và 4.2.2 (được tải 218 lần tính từ 16/07/2019)
• blockchain_wallet: 0.0.6 (được tải 201 lần tính từ 10/07/2019) và 0.0.7 (được tải 222 lần tính từ 16/07/2019)
• awesome-bot: 1.18.0 (được tải 232 lần tính từ 15/07/2019)
• doge-coin: 1.0.2 (được tải 213 lần tính từ 27/07/2019)
• capistrano-colors: 0.5.5 (được tải 178 lần tính từ 01/08/2019)

Tất cả các thư viện trên (ngoại trừ rest-client) đều được tải về, cài mã độc, rồi tải lên lại dưới một cái tên mới.

Hành vi này đã kéo dài trong vòng hơn 1 tháng mà không bị phát hiện, cho tới khi tin tặc truy cập được tài khoản của một nhà phát triển rest-client rồi sử dụng tài khoản này để tung ra 4 phiên bản nhiễm mã độc của thư viện này lên RubyGems.

Và cũng chính việc tấn công vào một dự án đồ sộ như vậy, với hơn 113 triệu lượt tải trên RubyGems, đã phơi bày hành vi của tin tặc, sau đó bị xử lý toàn bộ chỉ trong vài giờ sau khi phát hiện.

Tổng cộng, các thư viện nhiễm mã độc đã đạt 3.584 lượt tải trước khi bị xóa bỏ hoàn toàn, và các dự án có sử dụng những thư viện trên được khuyến cáo xóa bỏ phần sử dụng, hoặc upgrade/downgrade thành một phiên bản an toàn hơn.

Ngoài ra, vụ tấn công này cũng có một điểm đáng lưu tâm: cơ chế cài backdoor của nó tương tự như vụ tấn công lên 2 dự án là Bootstrap-Sass vào tháng 4/2019, và strong_password vào tháng 7 cùng năm. Tuy nhiên, mối liên hệ giữa 3 vụ tấn công này vẫn còn là một ẩn khúc.