В แพ็คเกจ gem วางจำหน่ายวันที่ 25 มิถุนายน Strong_password 0.7 การเปลี่ยนแปลงที่เป็นอันตราย () ดาวน์โหลดและรันโค้ดภายนอกที่ควบคุมโดยผู้โจมตีที่ไม่รู้จัก ซึ่งโฮสต์บนบริการ Pastebin จำนวนการดาวน์โหลดทั้งหมดของโครงการคือ 247 ครั้งและเวอร์ชัน 0.6 คือประมาณ 38 ครั้ง สำหรับเวอร์ชันที่เป็นอันตราย จำนวนการดาวน์โหลดจะแสดงเป็น 537 รายการ แต่ก็ไม่ชัดเจนว่าความแม่นยำนี้แม่นยำเพียงใด เนื่องจากรุ่นนี้ได้ลบออกจาก Ruby Gems แล้ว
ไลบรารี Strong_password มีเครื่องมือสำหรับตรวจสอบความแข็งแกร่งของรหัสผ่านที่ผู้ใช้ระบุระหว่างการลงทะเบียน
ใช้แพ็คเกจ Strong_password think_feel_do_engine (ดาวน์โหลด 65 ครั้ง), think_feel_do_dashboard (ดาวน์โหลด 15 ครั้ง) และ
ซุปเปอร์โฮสติ้ง (1.5 พัน) มีข้อสังเกตว่าการเปลี่ยนแปลงที่เป็นอันตรายถูกเพิ่มโดยบุคคลที่ไม่รู้จักซึ่งเข้าควบคุมพื้นที่เก็บข้อมูลจากผู้เขียน
โค้ดที่เป็นอันตรายถูกเพิ่มลงใน RubyGems.org เท่านั้น โครงการไม่ได้รับผลกระทบ ปัญหาถูกระบุหลังจากหนึ่งในนักพัฒนาที่ใช้ Strong_password ในโครงการของเขา เริ่มคิดว่าเหตุใดการเปลี่ยนแปลงครั้งล่าสุดจึงถูกเพิ่มไปยังพื้นที่เก็บข้อมูลเมื่อกว่า 6 เดือนที่ผ่านมา แต่มีรุ่นใหม่ปรากฏบน RubyGems ซึ่งเผยแพร่ในนามของ ผู้ดูแลซึ่งไม่มีใครเคยได้ยินมาก่อนที่ฉันไม่ได้ยินอะไรเลย
ผู้โจมตีสามารถรันโค้ดที่กำหนดเองบนเซิร์ฟเวอร์โดยใช้ Strong_password เวอร์ชันที่มีปัญหา เมื่อตรวจพบปัญหากับ Pastebin สคริปต์จะถูกโหลดเพื่อเรียกใช้โค้ดใดๆ ที่ไคลเอ็นต์ส่งผ่านผ่านคุกกี้ "__id" และเข้ารหัสโดยใช้วิธี Base64 โค้ดที่เป็นอันตรายยังส่งพารามิเตอร์ของโฮสต์ที่ติดตั้งตัวแปร Strong_password ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
ที่มา: opennet.ru