В 25月0.7日發表gem套件Strong_password XNUMX 惡意更改(),下載並執行由未知攻擊者控制的外部程式碼,託管在 Pastebin 服務上。該專案總下載量為247萬,0.6版本約38萬。對於惡意版本,下載次數為 537,但鑑於該版本已從 Ruby Gems 中刪除,因此尚不清楚該數字的準確度。
Strong_password 庫提供了用於檢查使用者在註冊期間指定的密碼強度的工具。
使用 Strong_password 軟體套件 think_feel_do_engine(65 萬次下載)、think_feel_do_dashboard(15 萬次下載)和
超級託管(1.5)。值得注意的是,惡意變更是由未知人員添加的,該人員從作者手中奪取了儲存庫的控制權。
惡意程式碼僅新增至 RubyGems.org, 該項目沒有受到影響。一位在專案中使用Strong_password 的開發人員開始弄清楚為什麼最後一次更改是在6 個多月前添加到存儲庫中的,但RubyGems 上出現了一個新版本,該版本代表新版本發布,之後發現了該問題。維護者,在我沒有聽到任何消息之前沒有人聽說過他。
攻擊者可以使用有問題的 Strong_password 版本在伺服器上執行任意程式碼。當偵測到 Pastebin 有問題時,會載入一個腳本來執行客戶端透過 Cookie「__id」傳遞並使用 Base64 方法進行編碼的任何程式碼。惡意程式碼也將安裝了惡意Strong_password變體的主機的參數傳送到攻擊者控制的伺服器。
來源: opennet.ru