В A Strong_password 25 gemcsomag június 0.7-i kiadása rosszindulatú változás (), a Pastebin szolgáltatáson tárolt, ismeretlen támadó által vezérelt külső kód letöltése és végrehajtása. A projekt teljes letöltéseinek száma 247 ezer, a 0.6-os verzió pedig körülbelül 38 ezer. A rosszindulatú verzió esetében a letöltések száma 537, de nem világos, hogy ez mennyire pontos, mivel ezt a kiadást már eltávolították a Ruby Gems-ről.
A Strong_password könyvtár eszközöket biztosít a felhasználó által a regisztráció során megadott jelszó erősségének ellenőrzésére.
a Strong_password csomagok segítségével think_feel_do_engine (65 ezer letöltés), think_feel_do_dashboard (15 ezer letöltés) és
szuperhosting (1.5 ezer). Megjegyzendő, hogy a rosszindulatú módosítást egy ismeretlen személy tette hozzá, aki átvette a tárhely irányítását a szerzőtől.
A rosszindulatú kód csak a RubyGems.org webhelyhez került hozzáadásra, a projektet nem érintette. A problémát azután azonosították, hogy az egyik fejlesztő, aki a Strong_password-ot használja projektjeiben, elkezdett kitalálni, hogy miért került az utolsó változtatás több mint 6 hónapja az adattárba, de megjelent egy új kiadás a RubyGems-en, amelyet egy új nevében tettek közzé. karbantartó, akiről korábban senki nem hallott semmit nem hallottam.
A támadó tetszőleges kódot futtathat a szervereken a Strong_password problémás verziójával. Amikor a Pastebin problémát észlelt, a program egy szkriptet töltött be, amely az ügyfél által a „__id” cookie-n keresztül továbbított kódot futtatja, és a Base64 módszerrel kódolta. A rosszindulatú kód annak a gazdagépnek a paramétereit is elküldte a támadó által irányított szervernek, amelyre a rosszindulatú Strong_password változatot telepítették.
Forrás: opennet.ru