В Lanzamiento del 25 de junio del paquete de gemas Strong_password 0.7 cambio malicioso (), descargando y ejecutando código externo controlado por un atacante desconocido, alojado en el servicio Pastebin. El número total de descargas del proyecto es de 247 mil y la versión 0.6 es de aproximadamente 38 mil. Para la versión maliciosa, el número de descargas aparece como 537, pero no está claro qué tan exacto es, dado que esta versión ya ha sido eliminada de Ruby Gems.
La biblioteca Strong_password proporciona herramientas para verificar la seguridad de la contraseña especificada por el usuario durante el registro.
utilizando los paquetes Strong_password think_feel_do_engine (65 mil descargas), think_feel_do_dashboard (15 mil descargas) y
superhosting (1.5 mil). Cabe señalar que el cambio malicioso fue agregado por una persona desconocida que tomó el control del repositorio del autor.
El código malicioso se agregó únicamente a RubyGems.org, el proyecto no se vio afectado. El problema se identificó después de que uno de los desarrolladores, que usa Strong_password en sus proyectos, comenzó a descubrir por qué el último cambio se agregó al repositorio hace más de 6 meses, pero apareció una nueva versión en RubyGems, publicada en nombre de un nuevo mantenedor, de quien nadie había oído hablar antes. No escuché nada.
El atacante podría ejecutar código arbitrario en servidores utilizando la versión problemática de Strong_password. Cuando se detectó un problema con Pastebin, se cargó un script para ejecutar cualquier código pasado por el cliente a través de la cookie "__id" y codificado utilizando el método Base64. El código malicioso también envió parámetros del host en el que se instaló la variante maliciosa Strong_password a un servidor controlado por el atacante.
Fuente: opennet.ru