开发者移除 11 个 Ruby 库中 18 个带有后门的版本
RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本,这些版本包含了后门机制,可以在使用 Ruby 时启动加密货币挖掘程序。
恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client 是一个非常流行的 Ruby 库。这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制,允许攻击者将 cookie 文件发送回受感染对象,并允许攻击者执行恶意命令。研究者调查后发现,这种机制被用于挖矿。
除了 rest-client,还有其它 10 个 Ruby 库也中招,但它们都是通过使用另一个功能齐全的库添加恶意代码,然后以新名称在 RubyGems 上重新上传而创建的。
研究人员分别统计了这些恶意版本在被移除前被下载的次数,一共被下载了三千多次,其中 rest-client 1.6.13 被下载了一千多次:
- rest-client:1.6.10(下载 176 次),1.6.11(下载 2 次),1.6.12(下载 3 次)和 1.6.13 (下载 1061 次)
- bitcoin_vanity:4.3.3(下载 8 次)
- lita_coin:0.0.3(下载 210 次)
- coming-soon:0.2.8(下载211次)
- omniauth_amazon:1.0.1(下载 193 次)
- cron_parser:0.1.4(下载 2 次),1.0.12(下载 3 次) )和 1.0.13(下载 248 次)
- coin_base:4.2.1(下载 206 次)和 4.2.2(下载 218 次)
- blockchain_wallet:0.0.6(下载 201 次)和 0.0.7(下载 222 次)
- awesome-bot:1.18.0(下载 232 次)
- doge-coin:1.0.2(下载 213 次)
- capistrano-colors:0.5.5(下载 175 次)
安全起见,建议在依赖关系树中删除这些库版本,或者升级/降级到安全版本,详情查看:
https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Qt 宣布新工具包 Qt for MCU,支持单片机
Qt 公司已经宣布了它的新工具包:Qt for MCU。Qt for MCU将能够在没有操作系统的设备上运行, 允许开发人员在具有成本效益的单片机上创建流畅的用户界面,基于 Qt 的应用程序现在可以部署在运行传统操作系统的系统以及基于 ARM Cortex M7 的微控制器上。 Qt for MCU 是如何实现的呢?答案是 Qt Quick。 Qt Quick 是一个用于开发移动应用程序的框架,其核心是 QML,它是一种用于描述用户界面的声明性语言。从语法上看,它有一种 JSON 感觉,低开销运行时使 QML GUI 能够与后端 C/C++ 代码绑定,使 GUI 可以跨多个平台进行移植。 Qt for MCU应用程序是使用新的运行时呈现的,该运行时提供高性能和低内存消耗。这是通过一个新的 QML 到 C++ 的转换,再加上一个新的声明性属性绑定引擎来实现的。此外,新的运行时允许应用程序在没有操作系统的情况下直接在处理器上运行,被称为“在裸金属上运行”。还可以使用标准 Qt 库在运行 Linux、Windows 等操作系统的功能更强大的设备上部署应用程序。 Qt for MCU 软件栈 ...
- 下一篇
云原生生态:HTTP/2 被曝存在可致 DDoS 的问题
业界要闻 1.CNCF 公布 Kubernetes 的安全审计报告 报告收集了社区对 Kubernetes、CoreDNS、Envoy、Prometheus 等项目的安全问题反馈,包含从一般弱点到关键漏洞。报告帮项目维护人员解决已识别的漏洞,并给出了一系列最佳实践。 2.技术监督委员会(TOC)投票决定将 rkt 项目归档 尽管 rkt 在 2014 年 12 月创建最初很受欢迎,并在 2017 年 3 月贡献给 CNCF,但其采纳程度已严重下降,很多用户已经从 rkt 转向了如 containerd、CRI-O 等其它项目。 上游重要进展 Kubernetes 项目 1.支持 readonly 的接口指定不同的网卡;https://github.com/kubernetes/enhancements/issues/1208 2.在 Kubectl 中进行 pod 问题定位分析; https://github.com/kubernetes/enhancements/pull/1204/files https://github.com/kubernetes/enhancements...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能