Зафиксирована подстановка вредоносного кода в Ruby-пакет Strong_password

В oпубликoвaннoм 25 июня выпускe gem-пaкeтa Strong_password 0.7 выявлeнo врeдoнoснoe измeнeниe (CVE-2019-13354), зaгружaющee и выпoлняющee пoдкoнтрoльный нeизвeстнoму злoумышлeннику блезиру) код, размещённый на сервисе Pastebin. Точки соприкосновения число загрузок проекта составляет 247 тысяч, а версии 0.6 - эдак 38 тысяч. Для вредоносной версии величина и круг загрузок указано 537, но безвыгодный ясно насколько оно соответствует действительности с учётом того, в чем дело? данный выпуск уже удалён с Ruby Gems. Публичка Strong_password предоставляет средства угоду кому) проверки надёжности пароля, задаваемого пользователем около регистрации. Среди использующих Strong_password пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard (15 тысяч загрузок) и superhosting (1.5 тыс). Отмечается, будто вредоносное изменение было добавлено неизвестным, перехватившим у автора контролирование за репозиторием. Вредоносный код был добавлен единственно на RubyGems.org, Git-репозиторий проекта мало-: неграмотный пострадал. Проблема была выявлена впоследств того, как один из разработчиков, использующий в своих проектах Strong_password, начал варить, почему в репозитории последнее изменение было добавлено сильнее 6 месяцев назад, но на RubyGems появился последний релиз, опубликованный от лица нового мэйтенера, для которого никто до этого ничегошеньки не слышал. Атакующий мог распустить выполнение произвольного кода на серверах, использующих проблемную версию Strong_password. В пункт обнаружения проблемы с Pastebin загружался скрипт во (избежание организации запуска любого кода, переданного клиентом выше Cookie "__id" и закодированного при помощи метода Base64. Вредоносный шифр также отправлял параметры хоста, получи и распишись который установлен вредоносный вариант Strong_password, для подконтрольный злоумышленнику сервер. Аккумулятор: http://www.opennet.ru/opennews/art.shtml?num=51056