В 25-iyun kuni Strong_password 0.7 qimmatbaho toshlar paketining chiqarilishi zararli o'zgartirish (), Pastebin xizmatida joylashgan noma'lum tajovuzkor tomonidan boshqariladigan tashqi kodni yuklab olish va bajarish. Loyihaning umumiy yuklab olishlar soni 247 mingta, 0.6 versiyasi esa 38 mingga yaqin. Zararli versiya uchun yuklab olishlar soni 537 deb ko'rsatilgan, ammo bu nashr Ruby Gems'dan allaqachon o'chirilganligini hisobga olsak, bu qanchalik to'g'ri ekanligi aniq emas.
Strong_password kutubxonasi ro'yxatdan o'tish paytida foydalanuvchi tomonidan ko'rsatilgan parolning kuchini tekshirish vositalarini taqdim etadi.
Strong_password paketlaridan foydalangan holda think_feel_do_engine (65 ming yuklab olish), think_feel_do_dashboard (15 ming yuklab olish) va
superhosting (1.5 ming). Qayd etilishicha, zararli o‘zgartirish muallifdan ombor nazoratini tortib olgan noma’lum shaxs tomonidan qo‘shilgan.
Zararli kod faqat RubyGems.org saytiga qo'shilgan, loyihaga ta'sir qilmadi. Muammo o'z loyihalarida Strong_password-dan foydalanadigan ishlab chiquvchilardan biri nima uchun oxirgi o'zgarish omborga 6 oydan ko'proq vaqt oldin qo'shilganligini aniqlay boshlaganidan keyin aniqlandi, ammo RubyGems-da yangi nashr nomidan nashr etilgan yangi nashr paydo bo'ldi. saqlovchi, u haqida oldin hech kim eshitmagan, men hech narsa eshitmaganman.
Buzg'unchi Strong_password ning muammoli versiyasidan foydalangan holda serverlarda o'zboshimchalik bilan kodni ishga tushirishi mumkin. Pastebin bilan bog'liq muammo aniqlanganda, mijoz tomonidan "__id" Cookie orqali uzatilgan va Base64 usuli yordamida kodlangan har qanday kodni ishga tushirish uchun skript yuklandi. Zararli kod, shuningdek, tajovuzkor tomonidan boshqariladigan serverga zararli Strong_password varianti o‘rnatilgan xost parametrlarini yubordi.
Manba: opennet.ru