В 25. Juni Veröffentlichung des Gem-Pakets Strong_password 0.7 böswillige Änderung (), Herunterladen und Ausführen von externem Code, der von einem unbekannten Angreifer gesteuert wird und auf dem Pastebin-Dienst gehostet wird. Die Gesamtzahl der Downloads des Projekts beträgt 247, und Version 0.6 beträgt etwa 38. Für die bösartige Version wird die Anzahl der Downloads mit 537 angegeben, es ist jedoch nicht klar, wie genau diese Angabe ist, da diese Version bereits von Ruby Gems entfernt wurde.
Die Strong_password-Bibliothek stellt Tools zur Überprüfung der Stärke des vom Benutzer bei der Registrierung angegebenen Passworts bereit.
unter Verwendung der Strong_password-Pakete think_feel_do_engine (65 Downloads), think_feel_do_dashboard (15 Downloads) und
Superhosting (1.5 Tausend). Es wird darauf hingewiesen, dass die böswillige Änderung von einer unbekannten Person hinzugefügt wurde, die dem Autor die Kontrolle über das Repository entrissen hat.
Der Schadcode wurde nur RubyGems.org hinzugefügt. Das Projekt war davon nicht betroffen. Das Problem wurde erkannt, nachdem einer der Entwickler, der Strong_password in seinen Projekten verwendet, herauszufinden begann, warum die letzte Änderung vor mehr als 6 Monaten zum Repository hinzugefügt wurde, aber auf RubyGems eine neue Version erschien, die im Auftrag eines neuen veröffentlicht wurde Betreuer, von dem noch niemand etwas gehört hatte, hörte ich nichts.
Der Angreifer könnte mit der problematischen Version von Strong_password beliebigen Code auf Servern ausführen. Wenn ein Problem mit Pastebin erkannt wurde, wurde ein Skript geladen, um jeglichen Code auszuführen, der vom Client über Cookie „__id“ übergeben und mit der Base64-Methode codiert wurde. Der Schadcode sendete außerdem Parameter des Hosts, auf dem die bösartige Strong_password-Variante installiert war, an einen vom Angreifer kontrollierten Server.
Source: opennet.ru