В 25. lipnja izdanje gem paketa Strong_password 0.7 zlonamjerna promjena (), preuzimajući i izvršavajući vanjski kod kojim upravlja nepoznati napadač, koji se nalazi na usluzi Pastebin. Ukupan broj preuzimanja projekta je 247 tisuća, a verzija 0.6 oko 38 tisuća. Za zlonamjernu verziju, broj preuzimanja je naveden kao 537, ali nije jasno koliko je to točno, s obzirom da je ovo izdanje već uklonjeno iz Ruby Gems.
Biblioteka Strong_password pruža alate za provjeru snage lozinke koju je korisnik naveo tijekom registracije.
pomoću paketa Strong_password think_feel_do_engine (65 tisuća preuzimanja), think_feel_do_dashboard (15 tisuća preuzimanja) i
superhosting (1.5 tisuća). Napominje se da je zlonamjernu promjenu dodala nepoznata osoba koja je preuzela kontrolu nad spremištem od autora.
Zlonamjerni kod je dodan samo na RubyGems.org, projekt nije bio pogođen. Problem je identificiran nakon što je jedan od programera, koji koristi Strong_password u svojim projektima, počeo shvaćati zašto je zadnja promjena dodana u repozitorij prije više od 6 mjeseci, ali se na RubyGems pojavilo novo izdanje, objavljeno u ime novog održavatelj, za kojeg prije nitko nije čuo Nisam ništa čuo.
Napadač bi mogao izvršiti proizvoljni kod na poslužiteljima koristeći problematičnu verziju Strong_password. Kada je otkriven problem s Pastebinom, učitava se skripta za pokretanje bilo kojeg koda koji klijent proslijedi putem kolačića "__id" i kodira se metodom Base64. Zlonamjerni kod također je poslao parametre hosta na kojem je instalirana zlonamjerna varijanta Strong_password na poslužitelj kojim je upravljao napadač.
Izvor: opennet.ru