В 25 juni release van edelstenenpakket Strong_password 0.7 kwaadaardige verandering (), het downloaden en uitvoeren van externe code die wordt beheerd door een onbekende aanvaller, gehost op de Pastebin-service. Het totale aantal downloads van het project is 247 duizend en versie 0.6 is ongeveer 38 duizend. Voor de kwaadaardige versie wordt het aantal downloads vermeld als 537, maar het is niet duidelijk hoe nauwkeurig dit is, aangezien deze release al uit Ruby Gems is verwijderd.
De Strong_password-bibliotheek biedt hulpmiddelen voor het controleren van de sterkte van het wachtwoord dat de gebruiker tijdens de registratie heeft opgegeven.
met behulp van de Strong_password-pakketten think_feel_do_engine (65 duizend downloads), think_feel_do_dashboard (15 duizend downloads) en
superhosting (1.5 duizend). Er wordt opgemerkt dat de kwaadwillige wijziging is toegevoegd door een onbekende persoon die de controle over de repository van de auteur heeft overgenomen.
De kwaadaardige code is alleen toegevoegd aan RubyGems.org, het project werd niet beïnvloed. Het probleem werd ontdekt nadat een van de ontwikkelaars, die Strong_password in zijn projecten gebruikt, begon uit te zoeken waarom de laatste wijziging meer dan zes maanden geleden aan de repository was toegevoegd, maar er verscheen een nieuwe release op RubyGems, gepubliceerd namens een nieuwe onderhouder, van wie nog nooit iemand had gehoord. Ik heb niets gehoord.
De aanvaller kon willekeurige code uitvoeren op servers met behulp van de problematische versie van Strong_password. Toen er een probleem met Pastebin werd gedetecteerd, werd een script geladen om elke code uit te voeren die door de client werd doorgegeven via Cookie "__id" en gecodeerd met behulp van de Base64-methode. De kwaadaardige code stuurde ook parameters van de host waarop de kwaadaardige Strong_password-variant was geïnstalleerd naar een server die werd beheerd door de aanvaller.
Bron: opennet.ru