В Lançamento em 25 de junho do pacote gem Strong_password 0.7 mudança maliciosa (), baixando e executando código externo controlado por um invasor desconhecido, hospedado no serviço Pastebin. O número total de downloads do projeto é de 247 mil, e a versão 0.6 é de cerca de 38 mil. Para a versão maliciosa, o número de downloads está listado como 537, mas não está claro quão preciso é, visto que esta versão já foi removida do Ruby Gems.
A biblioteca Strong_password fornece ferramentas para verificar a força da senha especificada pelo usuário durante o registro.
usando os pacotes Strong_password think_feel_do_engine (65 mil downloads), think_feel_do_dashboard (15 mil downloads) e
superhosting (1.5 mil). Observa-se que a alteração maliciosa foi adicionada por uma pessoa desconhecida que assumiu o controle do repositório do autor.
O código malicioso foi adicionado apenas ao RubyGems.org, o projeto não foi afetado. O problema foi identificado depois que um dos desenvolvedores, que usa Strong_password em seus projetos, começou a descobrir por que a última alteração foi adicionada ao repositório há mais de 6 meses, mas uma nova versão apareceu no RubyGems, publicada em nome de um novo mantenedor, sobre quem ninguém tinha ouvido falar antes, eu não ouvi nada.
O invasor pode executar código arbitrário em servidores usando a versão problemática do Strong_password. Quando era detectado algum problema no Pastebin, era carregado um script para executar qualquer código passado pelo cliente via Cookie "__id" e codificado utilizando o método Base64. O código malicioso também enviou parâmetros do host no qual a variante maliciosa Strong_password foi instalada para um servidor controlado pelo invasor.
Fonte: opennet.ru