В 25 juni release av ädelstenspaketet Strong_password 0.7 skadlig förändring (), laddar ner och kör extern kod som kontrolleras av en okänd angripare, värd på Pastebin-tjänsten. Det totala antalet nedladdningar av projektet är 247 tusen, och version 0.6 är cirka 38 tusen. För den skadliga versionen anges antalet nedladdningar som 537, men det är inte klart hur exakt detta är, med tanke på att den här utgåvan redan har tagits bort från Ruby Gems.
Strong_password-biblioteket tillhandahåller verktyg för att kontrollera styrkan på lösenordet som angetts av användaren under registreringen.
med Strong_password-paketen think_feel_do_engine (65 tusen nedladdningar), think_feel_do_dashboard (15 tusen nedladdningar) och
superhosting (1.5 tusen). Det noteras att den skadliga förändringen lades till av en okänd person som tog kontrollen över förvaret från författaren.
Den skadliga koden lades endast till på RubyGems.org, projektet påverkades inte. Problemet identifierades efter att en av utvecklarna, som använder Strong_password i sina projekt, började ta reda på varför den senaste ändringen lades till förvaret för mer än 6 månader sedan, men en ny version dök upp på RubyGems, publicerad på uppdrag av en ny underhållare, som ingen hade hört talas om innan jag inte hörde något.
Angriparen kunde exekvera godtycklig kod på servrar med den problematiska versionen av Strong_password. När ett problem med Pastebin upptäcktes, laddades ett skript för att köra valfri kod som skickades av klienten via Cookie "__id" och kodades med Base64-metoden. Den skadliga koden skickade också parametrar för värden där den skadliga Strong_password-varianten installerades till en server som kontrolleras av angriparen.
Källa: opennet.ru