В Sortie le 25 juin du package de gemmes Strong_password 0.7 changement malveillant (), téléchargeant et exécutant du code externe contrôlé par un attaquant inconnu, hébergé sur le service Pastebin. Le nombre total de téléchargements du projet est de 247 0.6 et la version 38 est d'environ 537 XNUMX. Pour la version malveillante, le nombre de téléchargements est de XNUMX, mais son exactitude n'est pas claire, étant donné que cette version a déjà été supprimée de Ruby Gems.
La bibliothèque Strong_password fournit des outils permettant de vérifier la force du mot de passe spécifié par l'utilisateur lors de l'inscription.
en utilisant les packages Strong_password think_feel_do_engine (65 15 téléchargements), think_feel_do_dashboard (XNUMX XNUMX téléchargements) et
superhosting (1.5 mille). Il est à noter que la modification malveillante a été ajoutée par une personne inconnue qui a pris le contrôle du référentiel auprès de l'auteur.
Le code malveillant a été ajouté uniquement à RubyGems.org, le projet n'a pas été affecté. Le problème a été identifié après que l'un des développeurs, qui utilise Strong_password dans ses projets, a commencé à comprendre pourquoi la dernière modification a été ajoutée au référentiel il y a plus de 6 mois, mais une nouvelle version est apparue sur RubyGems, publiée au nom d'un nouveau responsable, dont personne n'avait entendu parler avant que je n'aie rien entendu.
L'attaquant pourrait exécuter du code arbitraire sur des serveurs utilisant la version problématique de Strong_password. Lorsqu'un problème avec Pastebin était détecté, un script était chargé pour exécuter tout code transmis par le client via le cookie "__id" et codé à l'aide de la méthode Base64. Le code malveillant envoyait également les paramètres de l'hôte sur lequel la variante malveillante Strong_password était installée à un serveur contrôlé par l'attaquant.
Source: opennet.ru