Почему взломать сервисы вроде NuGet, PyPI, и RubyGems так просто и какую главную ошибку совершают поставщики?
Судя по всему, RubyGems решила пойти по стопам NPM и PyPi, пускай и с небольшим отставанием.
Проверьте свои “драгоценности”, ведь из-за ошибки в действии yank любой пользователь RubyGems мог удалять и заменять определенные гемы.
Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.
Злоумышленники использовали бэкдор для внедрения в чужие проекты Ruby криптовалютного майнера.
Эксперты рекомендуют всем пользователям обновить клиент RubyGems до 2.4.8 и более новых версий.