В популярной библиотеке Ruby Bootstrap-Sass был найден бэкдор

Олег Иванов 05 Апреля 2019 - 09:55

...

В популярной библиотеке Ruby Bootstrap-Sass был найден бэкдор

В популярной библиотеке Ruby, используемой в приложениях для отображения интерфейса на стороне пользователя, был обнаружен бэкдор-код. В настоящий момент опасное содержимое было устранено с выходом очередного обновления библиотеки.

Речь идет о Bootstrap-Sass, которая предоставляет разработчикам Sass-версию Bootstrap — самого популярного на сегодняшний день фреймворка UI.

Присутствие бэкдора было замечено 27 марта, на прошлой неделе, когда разработчик программного обеспечения Дерек Барнс отметил, что кто-то удалил версию Bootstrap-Sass v3.2.0.2 и сразу же заменил ее версией v3.2.0.3.

Внимание Барнса привлек тот факт, что изменения в библиотеке были произведены только в RubyGems, популярном репозитории для библиотек Ruby, но не на GitHub, где исходный код проверяется.

В ходе анализа версии v3.2.03 Барнс отметил, как он сам назвал это, «выглядящий интересно код». Этот код загружал файл cookie и выполнял его содержимое.

Бэкдор удалили из RubyGems в тот же день, когда эксперт сообщил о нем. Команда Bootstrap-Sass также приняла решение заблокировать доступ к RubyGems тем разработчикам, компьютеры которых могли быть скомпрометированы.

Версия Bootstrap-Sass v3.2.0.4 была выпущена вчера на RubyGems и GitHub, она устраняет все «хвосты», оставленные бэкдором.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.