更新很重要:流行的 Ruby 庫曝後門,但影響有限
流行的 Ruby 庫 Bootstrap-Sass 曝出後門程式碼。
Bootstrap-Sass 是一個流行的 Ruby UI 框架,它為開發人員提供了一個 Sass 版本的 Bootstrap。據 ZDNet 的報導,上週三,開發者 Derek Barnes 在該庫 3.2.0.3 版本中 發現後門程式碼 ,這一小段具有惡意性質的程式碼如上圖所示,它嵌入 Ruby 或 Ruby on Rails 之後,會載入一個 cookie 檔案並執行其內容。
據統計,雖然 Bootstrap-Sass 的安裝量達到 2800 萬,但是此後門版本僅有 1477 次安裝,因為該庫的最新版本是 3.4.1,而很少有開發者在使用舊版本分支,這一點提供了有效的安全保障。
報告公開的同一天該後門已經從 RubyGems 中刪除,Bootstrap-Sass 團隊還撤銷了對 RubyGems 的訪問許可權,因為開發人員認為他們的帳戶遭到入侵併被用來推送惡意程式碼。
此外,RubyGems 和 GitHub 上也釋出了 Bootstrap-Sass v3.2.0.4 版本,完全刪除了後門的相關內容。