В 25. června vydání balíčku drahokamů Strong_password 0.7 škodlivá změna (), stahování a spouštění externího kódu řízeného neznámým útočníkem, hostovaného ve službě Pastebin. Celkový počet stažení projektu je 247 tisíc a verze 0.6 asi 38 tisíc. U škodlivé verze je počet stažení uveden jako 537, ale není jasné, jak přesné to je, vzhledem k tomu, že toto vydání již bylo z Ruby Gems odstraněno.
Knihovna Strong_password poskytuje nástroje pro kontrolu síly hesla zadaného uživatelem při registraci.
pomocí balíčků Strong_password think_feel_do_engine (65 tisíc stažení), think_feel_do_dashboard (15 tisíc stažení) a
superhosting (1.5 tisíce). Je třeba poznamenat, že škodlivá změna byla přidána neznámou osobou, která se zmocnila kontroly nad úložištěm od autora.
Škodlivý kód byl přidán pouze na RubyGems.org, projekt nebyl ovlivněn. Problém byl identifikován poté, co jeden z vývojářů, který ve svých projektech používá Strong_password, začal zjišťovat, proč byla poslední změna přidána do úložiště před více než 6 měsíci, ale na RubyGems se objevilo nové vydání, publikované jménem nového údržbář, o kterém předtím nikdo neslyšel, já nic neslyšel.
Útočník by mohl spustit libovolný kód na serverech pomocí problematické verze Strong_password. Když byl zjištěn problém s Pastebinem, byl načten skript pro spuštění jakéhokoli kódu předaného klientem přes cookie "__id" a zakódovaného pomocí metody Base64. Škodlivý kód také odeslal parametry hostitele, na kterém byla nainstalována škodlivá varianta Strong_password, na server ovládaný útočníkem.
Zdroj: opennet.ru