В 25. juni utgivelse av gem-pakken Strong_password 0.7 ondsinnet endring (), laster ned og kjører ekstern kode kontrollert av en ukjent angriper, vert på Pastebin-tjenesten. Det totale antallet nedlastinger av prosjektet er 247 tusen, og versjon 0.6 er omtrent 38 tusen. For den ondsinnede versjonen er antallet nedlastinger oppført som 537, men det er ikke klart hvor nøyaktig dette er, gitt at denne utgivelsen allerede er fjernet fra Ruby Gems.
Strong_password-biblioteket gir verktøy for å sjekke styrken på passordet som er spesifisert av brukeren under registreringen.
ved å bruke Strong_password-pakkene think_feel_do_engine (65 tusen nedlastinger), think_feel_do_dashboard (15 tusen nedlastinger) og
superhosting (1.5 tusen). Det bemerkes at den ondsinnede endringen ble lagt til av en ukjent person som tok kontroll over depotet fra forfatteren.
Den ondsinnede koden ble bare lagt til RubyGems.org, prosjektet ble ikke berørt. Problemet ble identifisert etter at en av utviklerne, som bruker Strong_password i prosjektene sine, begynte å finne ut hvorfor den siste endringen ble lagt til depotet for mer enn 6 måneder siden, men en ny utgivelse dukket opp på RubyGems, publisert på vegne av en ny vedlikeholder, som ingen hadde hørt om før jeg ikke hørte noe.
Angriperen kunne kjøre vilkårlig kode på servere ved å bruke den problematiske versjonen av Strong_password. Når et problem med Pastebin ble oppdaget, ble et skript lastet for å kjøre en hvilken som helst kode som ble sendt av klienten via informasjonskapselen "__id" og kodet med Base64-metoden. Den ondsinnede koden sendte også parametere til verten som den ondsinnede Strong_password-varianten ble installert på til en server kontrollert av angriperen.
Kilde: opennet.ru