Strong_password Rubygem 被劫持

奇客资讯 • 4年前扫码分享

我是创始人李岩：很抱歉！给自己产品做个广告，点击进来看看。

一个流行的 Ruby 密码强度检查程序遭到劫持，攻击者将 strong_password 的版本从 v0.0.6 升级到 v0.0.7，嵌入了一个可编辑的 Pastebin 网址。整合 strong_password 的应用会下载和执行 Pastebin 网址中的代码，这意味着攻击者可以根据需要执行任意代码。strong_password v0.0.6 合法下载量有 3.7 万次，不清楚有多少人下载了恶意版本。 RubyGems 已经将恶意版本移除。 Strong_password Rubygem 被劫持