В 25 червня випуск gem-пакету Strong_password 0.7 шкідлива зміна (), що завантажує та виконує підконтрольний невідомому зловмиснику зовнішній код, розміщений на сервісі Pastebin. Загальна кількість завантажень проекту складає 247 тисяч, а версії 0.6 – близько 38 тисяч. Для шкідливої версії число завантажень вказано 537, але не зрозуміло, наскільки воно відповідає дійсності з урахуванням того, що цей випуск вже видалений з Ruby Gems.
Бібліотека Strong_password надає засоби для перевірки надійності пароля, що задається користувачем під час реєстрації.
які використовують Strong_password пакетів think_feel_do_engine (65 тисяч завантажень), think_feel_do_dashboard (15 тисяч завантажень) та
superhosting (1.5 тис). Зазначається, що шкідлива зміна була додана невідомим, який перехопив у автора контроль за репозиторієм.
Шкідливий код було додано лише на RubyGems.org, проекту не постраждав. Проблема була виявлена після того, як один із розробників, який використовує у своїх проектах Strong_password, почав розбиратися, чому в репозиторії остання зміна була додана більше 6 місяців тому, але на RubyGems з'явився новий реліз, опублікований від імені нового мейтенера, про якого ніхто до цього нічого не чув.
Атакуючий міг організувати виконання довільного коду на серверах, що використовують проблемну версію Strong_password. У момент виявлення проблеми з Pastebin завантажувався скрипт для організації запуску будь-якого коду, переданого клієнтом через Cookie «__id» та закодованого за допомогою методу Base64. Шкідливий код також відправляв параметри хоста, на який встановлено шкідливий варіант Strong_password, на сервер підконтрольний зловмиснику.
Джерело: opennet.ru