В U 25 di ghjugnu liberazione di u pacchettu di gemme Strong_password 0.7 cambiamenti maliziusi (), scaricamentu è esecutà codice esternu cuntrullatu da un attaccu scunnisciutu, ospitatu nantu à u serviziu Pastebin. U numeru tutale di scaricamentu di u prugettu hè 247 mila, è a versione 0.6 hè di circa 38 mila. Per a versione maliciosa, u numeru di scaricamentu hè listatu cum'è 537, ma ùn hè micca chjaru quantu hè precisu, postu chì sta liberazione hè stata sguassata da Ruby Gems.
A biblioteca Strong_password furnisce strumenti per verificà a forza di a password specificata da l'utilizatore durante a registrazione.
utilizendu i pacchetti Strong_password think_feel_do_engine (65 mila download), think_feel_do_dashboard (15 mila download) è
superhosting (1.5 mila). Hè nutatu chì u cambiamentu maliziusu hè statu aghjuntu da una persona scunnisciuta chì hà pigliatu u cuntrollu di u repository da l'autore.
U codice maliziusu hè statu aghjuntu solu à RubyGems.org, u prugettu ùn hè statu affettatu. U prublema hè stata identificata dopu chì unu di i sviluppatori, chì usa Strong_password in i so prughjetti, hà cuminciatu à capisce perchè l'ultimu cambiamentu hè statu aghjuntu à u repository più di 6 mesi fà, ma una nova versione apparsu in RubyGems, publicata in nome di un novu. mantenente, di quale nimu avia intesu prima ùn aghju intesu nunda.
L'attaccante puderia eseguisce codice arbitrariu nantu à i servitori utilizendu a versione problematica di Strong_password. Quandu un prublema cù Pastebin hè stata rilevata, un script hè stata caricata per eseguisce qualsiasi codice passatu da u cliente via Cookie "__id" è codificata cù u metudu Base64. U codice maliziusu hà ancu mandatu paràmetri di l'ospitu nantu à quale a variante maliciosa Strong_password hè stata installata à un servitore cuntrullatu da l'attaccante.
Source: opennet.ru