В 25. kesäkuuta julkaistaan jalokivipaketti Strong_password 0.7 ilkeä muutos (), lataa ja suorittaa ulkoista koodia, jota tuntematon hyökkääjä hallitsee Pastebin-palvelussa. Projektin latausten kokonaismäärä on 247 tuhatta ja versio 0.6 noin 38 tuhatta. Haitallisen version latausten lukumäärä on 537, mutta ei ole selvää, kuinka tarkka tämä on, koska tämä julkaisu on jo poistettu Ruby Gemsistä.
Strong_password-kirjasto tarjoaa työkaluja käyttäjän rekisteröinnin yhteydessä määrittämän salasanan vahvuuden tarkistamiseen.
käyttämällä Strong_password-paketteja think_feel_do_engine (65 tuhatta latausta), think_feel_do_dashboard (15 tuhatta latausta) ja
superhosting (1.5 tuhatta). On huomattava, että haitallisen muutoksen lisäsi tuntematon henkilö, joka otti arkiston hallinnan tekijältä.
Haitallinen koodi lisättiin vain RubyGems.org-sivustolle, hanke ei vaikuttanut. Ongelma havaittiin sen jälkeen, kun yksi kehittäjistä, joka käyttää Strong_passwordia projekteissaan, alkoi selvittää, miksi viimeisin muutos lisättiin arkistoon yli 6 kuukautta sitten, mutta RubyGemsiin ilmestyi uusi julkaisu, joka julkaistiin uuden henkilön puolesta. ylläpitäjä, josta kukaan ei ollut kuullut ennen en kuullut mitään.
Hyökkääjä voi suorittaa mielivaltaisen koodin palvelimilla käyttämällä ongelmallista Strong_password-versiota. Kun Pastebinin kanssa havaittiin ongelma, ladattiin komentosarja, joka suorittaa kaikki asiakkaan evästeen "__id" kautta välittämät ja Base64-menetelmällä koodatut koodit. Haitallinen koodi lähetti myös sen isäntäparametrit, jolle haitallinen Strong_password-variantti oli asennettu, hyökkääjän hallitsemalle palvelimelle.
Lähde: opennet.ru