В 25 czerwca wydanie pakietu gem Strong_password 0.7 złośliwa zmiana (), pobranie i wykonanie zewnętrznego kodu kontrolowanego przez nieznanego atakującego, hostowanego w serwisie Pastebin. Łączna liczba pobrań projektu to 247 tys., a wersji 0.6 ok. 38 tys. W przypadku złośliwej wersji liczba pobrań wynosi 537, ale nie jest jasne, na ile jest to dokładna, biorąc pod uwagę, że ta wersja została już usunięta z Ruby Gems.
Biblioteka Strong_password udostępnia narzędzia umożliwiające sprawdzenie siły hasła podanego przez użytkownika podczas rejestracji.
korzystanie z pakietów Strong_password think_feel_do_engine (65 tys. pobrań), think_feel_do_dashboard (15 tys. pobrań) oraz
superhosting (1.5 tys.). Należy zauważyć, że złośliwa zmiana została dodana przez nieznaną osobę, która przejęła kontrolę nad repozytorium od autora.
Szkodliwy kod został dodany jedynie do RubyGems.org, projekt nie został naruszony. Problem został zidentyfikowany po tym, jak jeden z programistów, który w swoich projektach używa Strong_password, zaczął dociekać, dlaczego ostatnia zmiana została dodana do repozytorium ponad 6 miesięcy temu, ale na RubyGems pojawiła się nowa wersja, opublikowana w imieniu nowego konserwator, o którym nikt wcześniej nie słyszał, ja też nic nie słyszałem.
Osoba atakująca może wykonać dowolny kod na serwerach, korzystając z problematycznej wersji Strong_password. Po wykryciu problemu z Pastebinem ładowany był skrypt uruchamiający dowolny kod przekazany przez klienta za pośrednictwem pliku cookie „__id” i zakodowany przy użyciu metody Base64. Szkodliwy kod wysyłał także parametry hosta, na którym zainstalowano złośliwy wariant Strong_password, do serwera kontrolowanego przez osobę atakującą.
Źródło: opennet.ru