В популярной Ruby-библиотеке Bootstrap-Sass обнаружен бэкдор

В популярной библиотеке Bootstrap-Sass, используемой в приложениях на Ruby и Ruby on Rails для отображения пользовательского интерфейса, обнаружен бэкдор. Bootstrap-Sass предоставляет разработчикам Sass-версию Bootstrap – наиболее популярного на сегодняшний день фреймворка для web-проектов.

О наличии бэкдора стало известно 27 марта, когда разработчик Дерек Барнс (Derek Barnes) заметил , что кто-то удалил версию Bootstrap-Sass v3.2.0.2 и сразу же заменил ее версией v3.2.0.3. Интерес программиста вызвал тот факт, что изменения были произведены только в RubyGems (репозитории для Ruby-библиотек), но не на GitHub, где контролировался исходный код библиотеки.

Проанализировав версию v3.2.03, размещенную в RubyGems, Барнс заметил, по его словам, «интересный код», который загружал cookie-файл и исполнял его содержимое. Бэкдор был удален из репозитория в тот же день, когда разработчик сообщил о нем. Команда Bootstrap-Sass также заблокировала в RubyGems учетную запись, с которой предположительно распространялась вредоносная версия библиотеки.

Разработчики выпустили обновление Bootstrap-Sass v3.2.0.4 (доступно на RubyGems и GitHub ), устраняющее бэкдор. По оценкам экспертов, число пострадавших проектов сравнительно невелико, поскольку разработчики в основном используют последнюю версию Bootstrap-Sass v3.4.1 и только немногие – устаревшую ветку. Согласно официальной статистике RubyGems, вредоносная версия была загружена 1 477 раз.