В انتشار 25 ژوئن بسته جم Strong_password 0.7 تغییر مخرب ()، دانلود و اجرای کد خارجی کنترل شده توسط یک مهاجم ناشناس، میزبانی شده در سرویس Pastebin. تعداد کل دانلودهای پروژه 247 هزار و نسخه 0.6 حدود 38 هزار دانلود می باشد. برای نسخه مخرب، تعداد دانلودها 537 ذکر شده است، اما با توجه به اینکه این نسخه قبلاً از Ruby Gems حذف شده است، مشخص نیست که چقدر دقیق است.
کتابخانه Strong_password ابزارهایی را برای بررسی قدرت رمز عبور مشخص شده توسط کاربر در هنگام ثبت نام فراهم می کند.
با استفاده از بسته های Strong_password think_feel_do_engine (65 هزار دانلود)، think_feel_do_dashboard (15 هزار دانلود) و
سوپر هاست (1.5 هزار). خاطرنشان می شود که این تغییر مخرب توسط یک فرد ناشناس اضافه شده است که کنترل مخزن را از نویسنده گرفته است.
کد مخرب فقط به RubyGems.org اضافه شد، پروژه تحت تأثیر قرار نگرفت. مشکل پس از اینکه یکی از توسعه دهندگان که از Strong_password در پروژه های خود استفاده می کند، شناسایی شد که چرا آخرین تغییر بیش از 6 ماه پیش به مخزن اضافه شده است، اما نسخه جدیدی در RubyGems ظاهر شد که از طرف یک نسخه جدید منتشر شد. نگهدارنده، که هیچ کس قبلاً در مورد او نشنیده بود، من چیزی نشنیده بودم.
مهاجم می تواند کد دلخواه را با استفاده از نسخه مشکل دار Strong_password روی سرورها اجرا کند. هنگامی که مشکلی در Pastebin تشخیص داده شد، یک اسکریپت برای اجرای هر کد ارسال شده توسط مشتری از طریق کوکی "__id" و با استفاده از روش Base64 کدگذاری میشود، بارگذاری میشود. کد مخرب همچنین پارامترهای میزبانی را که نوع مخرب Strong_password روی آن نصب شده بود، به سروری که توسط مهاجم کنترل میشود ارسال کرد.
منبع: opennet.ru