В 25. junij izdaja paketa gem Strong_password 0.7 zlonamerna sprememba (), prenašanje in izvajanje zunanje kode, ki jo nadzoruje neznani napadalec, ki gostuje v storitvi Pastebin. Skupno število prenosov projekta je 247 tisoč, različica 0.6 pa približno 38 tisoč. Za zlonamerno različico je število prenosov navedeno kot 537, vendar ni jasno, kako natančno je to, glede na to, da je bila ta izdaja že odstranjena iz Ruby Gems.
Knjižnica Strong_password ponuja orodja za preverjanje moči gesla, ki ga je uporabnik določil med registracijo.
z uporabo paketov Strong_password think_feel_do_engine (65 tisoč prenosov), think_feel_do_dashboard (15 tisoč prenosov) in
supergostovanje (1.5 tisoč). Opozoriti je treba, da je zlonamerno spremembo dodala neznana oseba, ki je avtorju prevzela nadzor nad skladiščem.
Zlonamerna koda je bila dodana samo na RubyGems.org, projekt ni bil prizadet. Težava je bila ugotovljena po tem, ko je eden od razvijalcev, ki v svojih projektih uporablja Strong_password, začel ugotavljati, zakaj je bila zadnja sprememba dodana v repozitorij pred več kot 6 meseci, vendar se je na RubyGems pojavila nova izdaja, objavljena v imenu novega vzdrževalec, za katerega prej še nihče ni slišal.
Napadalec bi lahko izvedel poljubno kodo na strežnikih s problematično različico Strong_password. Ko je bila odkrita težava s Pastebinom, je bil naložen skript za zagon katere koli kode, ki jo posreduje odjemalec prek piškotka "__id" in je kodirana z uporabo metode Base64. Zlonamerna koda je tudi poslala parametre gostitelja, na katerem je bila nameščena zlonamerna različica Strong_password, na strežnik, ki ga je nadziral napadalec.
Vir: opennet.ru