RubyGems工作人員表示，他們已經移除了18個包含後門機制的惡意版本Ruby庫。自7月8日以來，其已被下載3584次。如剔除同一庫的不同版本，則有11個Ruby庫被污染。這些Ruby庫被軟件包存儲庫的惡意維護者破解並植入了後門代碼，可在其他人啟用的Ruby項目中開展隱匿的加密貨幣挖掘任務。

（圖自：GitHub，via ZDNet）

昨天，人們在四個版本的rest-client中首次發現。作為一個相當流行的Ruby庫，荷蘭開發人者Jan D Intel分析稱：

惡意代碼會收集受感染系統的URL和環境變量，並將之發送到位於烏克蘭的遠程服務器。

根據用戶的設置，這可能包括當前使用的服務憑證，數據庫和支付服務提供商都該倍加小心。

此外，代碼包含了一個後門機制，允許攻擊者將cookie 文件發送回受感染的項目中，並執行惡意命令。

RubyGems 工作人員在後續的一次調查中發現，這種機制被濫用並植入了加密貨幣的挖礦代碼，然後又在另外10 個項目中發現了類似的代碼。

據悉，除了rest-clint 之外的所有庫，都調用了另一個功能齊全的庫來添加惡意代碼，然後以新名稱在RubyGems 重新上傳以實現創建。

受影響的11個庫名如下（具體版本號請移步至官網公告查看/ GitHub傳送門）：

rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及capistrano-colors 。

遺憾的是，這個隱匿的計劃已經活躍了一個多月，結果期間一直未被他人發現。

直到黑客設法訪問其中一位客戶端開發人員的RubyGems 賬戶時，人們才驚覺其在RubyGems 上推送了四個惡意版本的rest-clint 。

最終，在所有18 個惡意庫版本被RubyGems 刪除之前，其已經累積了3584 次下載。

在此，官方建議在關係樹中對這些庫有依賴的項目開發者，務必採取相應的升級或降級措施，以用上相對安全的版本。