В gem パッケージ Strong_password 25 の 0.7 月 XNUMX 日リリース 悪意のある変更 ()、Pastebin サービスでホストされている、未知の攻撃者によって制御される外部コードをダウンロードして実行します。 プロジェクトの総ダウンロード数は247万件、バージョン0.6は約38万件です。 悪意のあるバージョンのダウンロード数は 537 と表示されていますが、このリリースがすでに Ruby Gems から削除されているため、これがどの程度正確であるかは不明です。
Strong_password ライブラリは、登録時にユーザーが指定したパスワードの強度をチェックするためのツールを提供します。
Strong_password パッケージの think_feel_do_engine (ダウンロード数 65)、think_feel_do_dashboard (ダウンロード数 15) および
スーパーホスティング (1.5)。 この悪意のある変更は、作成者からリポジトリの制御を奪った未知の人物によって追加されたことに注意してください。
悪意のあるコードは RubyGems.org にのみ追加されました。 プロジェクトは影響を受けませんでした。 この問題は、プロジェクトで Strong_password を使用している開発者の 6 人が、最後の変更が XNUMX か月以上前にリポジトリに追加された理由を解明し始めた後に特定されましたが、新しいリリースが RubyGems に登場し、新しいリリースに代わって公開されました。メンテナー、私が何も聞くまでは誰も聞いたことがありませんでした。
攻撃者は、問題のあるバージョンの Strong_password を使用してサーバー上で任意のコードを実行する可能性があります。 Pastebin の問題が検出されると、クライアントから Cookie "__id" 経由で渡され、Base64 メソッドを使用してエンコードされたコードを実行するスクリプトがロードされました。 また、悪意のあるコードは、悪意のある Strong_password 亜種がインストールされたホストのパラメータを、攻撃者が制御するサーバーに送信しました。
出所: オープンネット.ru