В 25月0.7日发布gem包Strong_password XNUMX 恶意更改(),下载并执行由未知攻击者控制的外部代码,托管在 Pastebin 服务上。 该项目总下载量为247万,0.6版本约为38万。 对于恶意版本,下载次数为 537,但鉴于该版本已从 Ruby Gems 中删除,因此尚不清楚该数字的准确度。
Strong_password 库提供了用于检查用户在注册期间指定的密码强度的工具。
使用 Strong_password 软件包 think_feel_do_engine(65 万次下载)、think_feel_do_dashboard(15 万次下载)和
超级托管(1.5)。 值得注意的是,恶意更改是由未知人员添加的,该人员从作者手中夺取了存储库的控制权。
恶意代码仅添加到 RubyGems.org, 该项目没有受到影响。 一位在项目中使用 Strong_password 的开发人员开始弄清楚为什么最后一次更改是在 6 个多月前添加到存储库中的,但 RubyGems 上出现了一个新版本,该版本代表新版本发布,之后发现了该问题。维护者,在我没有听到任何消息之前没有人听说过他。
攻击者可以使用有问题的 Strong_password 版本在服务器上执行任意代码。 当检测到 Pastebin 存在问题时,会加载一个脚本来运行客户端通过 Cookie“__id”传递并使用 Base64 方法进行编码的任何代码。 恶意代码还将安装了恶意Strong_password变体的主机的参数发送到攻击者控制的服务器。
来源: opennet.ru