在Bootstrap-Sass Ruby库中发现的后门

恶意版本3.2.0.3已更换 - 立即更新

流行的Ruby库的恶意版本允许在被劫持开发人员帐户后远程代码执行（RCE）。

该后门是在Bootstrap-Sass中发现的，Bootstrap-Sass是Ruby和Ruby on Rails的前端用户界面框架。

软件开发人员德里克·巴恩斯（Derek Barnes）发现3.2.0.2版（不认为是恶意的）时，遇到了恶意代码，被从Rubygems存放处删除，并迅速替换为版本3.2.0.3。

Barnes更深入地研究了后来的版本，该版本已在RubyGems上进行了更新，但没有在官方的GitHub存储库中进行了可疑，并提醒了维护者的开源库软件。

果然，随后确定了使不法行为可以在弱势系统上种植后门的问题。

后门被发现隐藏在新文件中， lib/active-controller/middleware.rb 。

迄今为止，Bootstrap-Sass库已下载超过2800万次，尽管只有很小的分数（1,470个用户）安装了恶意版本。

根据开源漏洞监控服务SNYK的说法，该服务详细介绍了事件的时间表这篇博客文章，在其中一名维护者的凭证受到损害之后，出现了问题。

据称，这允许恶意版本上传 - 尽管尚未确认这一索赔。

Barnes提出问题一个小时后，删除了3.2.0.3版，维护者都更新了密码。

现在发布了一个新版本 - 3.2.0.4 - 与3.2.0.2相同。敦促Bootstrap-Sass用户尽快更新此版本的软件。