В 25. júna vydanie balíčka drahokamov Strong_password 0.7 zlomyseľná zmena (), sťahovanie a spúšťanie externého kódu kontrolovaného neznámym útočníkom, ktorý je hosťovaný v službe Pastebin. Celkový počet stiahnutí projektu je 247 tisíc a verzia 0.6 je približne 38 tisíc. Pre škodlivú verziu je počet stiahnutí uvedený ako 537, ale nie je jasné, nakoľko je to presné, keďže toto vydanie už bolo z Ruby Gems odstránené.
Knižnica Strong_password poskytuje nástroje na kontrolu sily hesla zadaného používateľom pri registrácii.
pomocou balíkov Strong_password think_feel_do_engine (65 tisíc stiahnutí), think_feel_do_dashboard (15 tisíc stiahnutí) a
superhosting (1.5 tisíc). Je potrebné poznamenať, že škodlivú zmenu pridala neznáma osoba, ktorá autorovi prevzala kontrolu nad úložiskom.
Škodlivý kód bol pridaný iba na RubyGems.org, projekt nebol ovplyvnený. Problém bol identifikovaný po tom, čo jeden z vývojárov, ktorý vo svojich projektoch používa Strong_password, začal zisťovať, prečo bola posledná zmena pridaná do úložiska pred viac ako 6 mesiacmi, no na RubyGems sa objavilo nové vydanie, publikované v mene nového údržbár, o ktorom nikto predtým nepočul ja som nič nepočul.
Útočník by mohol spustiť ľubovoľný kód na serveroch pomocou problematickej verzie Strong_password. Keď sa zistil problém s Pastebinom, načítal sa skript na spustenie akéhokoľvek kódu odovzdaného klientom cez Cookie "__id" a zakódovaného pomocou metódy Base64. Škodlivý kód odoslal aj parametre hostiteľa, na ktorom bol nainštalovaný škodlivý variant Strong_password, na server kontrolovaný útočníkom.
Zdroj: opennet.ru