В La 25-an de junio eldono de gema pako Strong_password 0.7 malica ŝanĝo (), elŝutante kaj ekzekuti eksteran kodon kontrolitan de nekonata atakanto, gastigita sur la Pastebin-servo. La tuta nombro de elŝutoj de la projekto estas 247 mil, kaj versio 0.6 estas ĉirkaŭ 38 mil. Por la malica versio, la nombro da elŝutoj estas listigita kiel 537, sed ne estas klare kiom preciza ĉi tio estas, ĉar ĉi tiu eldono jam estis forigita de Ruby Gems.
La biblioteko Strong_password provizas ilojn por kontroli la forton de la pasvorto specifita de la uzanto dum registrado.
uzante la Strong_password-pakaĵojn think_feel_do_engine (65 mil elŝutoj), think_feel_do_dashboard (15 mil elŝutoj) kaj
supergastigado (1.5 mil). Oni rimarkas, ke la malica ŝanĝo estis aldonita de nekonata persono, kiu prenis kontrolon de la deponejo de la aŭtoro.
La malica kodo estis aldonita nur al RubyGems.org, la projekto ne estis tuŝita. La problemo estis identigita post kiam unu el la programistoj, kiu uzas Strong_password en siaj projektoj, komencis kompreni kial la lasta ŝanĝo estis aldonita al la deponejo antaŭ pli ol 6 monatoj, sed nova eldono aperis sur RubyGems, publikigita nome de nova. prizorganto, pri kiu neniu aŭdis antaŭe mi aŭdis nenion.
La atakanto povus ekzekuti arbitran kodon sur serviloj uzante la probleman version de Strong_password. Kiam problemo kun Pastebin estis detektita, skripto estis ŝarĝita por ruli ajnan kodon pasigitan de la kliento per Kuketo "__id" kaj kodita per la metodo Base64. La malica kodo ankaŭ sendis parametrojn de la gastiganto sur kiu la malica Strong_password varianto estis instalita al servilo kontrolita de la atakanto.
fonto: opennet.ru