В Հունիսի 25-ին Gem փաթեթի թողարկում Strong_password 0.7 չարամիտ փոփոխություն (), ներբեռնում և կատարում է արտաքին ծածկագիր, որը վերահսկվում է անհայտ հարձակվողի կողմից, որը տեղակայված է Pastebin ծառայության վրա: Նախագծի ներբեռնումների ընդհանուր թիվը 247 հազար է, իսկ 0.6 տարբերակը՝ մոտ 38 հազար։ Վնասակար տարբերակի համար ներբեռնումների թիվը նշված է որպես 537, բայց պարզ չէ, թե որքանով է դա ճշգրիտ, հաշվի առնելով, որ այս թողարկումն արդեն հեռացվել է Ruby Gems-ից:
Strong_password գրադարանը տրամադրում է գործիքներ գրանցման ժամանակ օգտագործողի կողմից նշված գաղտնաբառի ուժը ստուգելու համար:
օգտագործելով Strong_password փաթեթները think_feel_do_engine (65 հազար ներբեռնումներ), think_feel_do_dashboard (15 հազար ներբեռնումներ) և
սուպերհոսթինգ (1.5 հազ.): Նշվում է, որ չարամիտ փոփոխությունն ավելացվել է անհայտ անձի կողմից, ով հեղինակից խլել է պահեստի վերահսկողությունը:
Վնասակար կոդը ավելացվել է միայն RubyGems.org-ում, նախագիծը չի ազդել. Խնդիրը բացահայտվեց այն բանից հետո, երբ մշակողներից մեկը, ով օգտագործում է Strong_password-ը իր նախագծերում, սկսեց պարզել, թե ինչու է վերջին փոփոխությունն ավելացվել պահոցում ավելի քան 6 ամիս առաջ, բայց RubyGems-ում հայտնվեց նոր թողարկում, որը հրապարակվել էր նորի անունից: սպասարկող, որի մասին նախկինում ոչ ոք չէր լսել, ես ոչինչ չէի լսել:
Հարձակվողը կարող էր կամայական կոդ կատարել սերվերների վրա՝ օգտագործելով Strong_password-ի խնդրահարույց տարբերակը: Երբ Pastebin-ի հետ կապված խնդիր հայտնաբերվեց, սկրիպտը բեռնվեց՝ հաճախորդի կողմից «__id» cookie-ի միջոցով փոխանցված ցանկացած կոդ գործարկելու և Base64 մեթոդի միջոցով կոդավորված: Վնասակար կոդը նաև ուղարկեց հոսթի պարամետրերը, որոնց վրա տեղադրվել էր վնասակար Strong_password տարբերակը հարձակվողի կողմից վերահսկվող սերվերին:
Source: opennet.ru