RubyGems, der Paketmanager für Ruby, hat die Registrierung neuer Benutzer vorübergehend ausgesetzt, nachdem Hunderte von bösartigen Gems in seinem Repository entdeckt wurden. Die Maßnahme zielt darauf ab, Akteure zu stoppen, die schädliche Software verbreiten. Bestehende Entwickler können weiterhin Gems veröffentlichen und aktualisieren, um die Integrität des Ökosystems zu schützen, während neue Konten überprüft werden.
Wie die Aussetzung den Arbeitsablauf in Ruby beeinflusst 🛑
Die Pause bei den Registrierungen bedeutet, dass jeder Entwickler ohne vorheriges Konto bis auf Weiteres keine Pakete hochladen kann. Dies betrifft neue Projekte oder externe Beiträge, die darauf angewiesen sind, Gems von Grund auf neu zu veröffentlichen. Allerdings bleiben Aktualisierungen und Patches bestehender Konten aktiv, was die Wartung kritischer Bibliotheken ermöglicht. RubyGems empfiehlt die Verwendung sicherer API-Schlüssel und die Überprüfung von Abhängigkeiten, während zusätzliche Filter gegen bösartigen Code implementiert werden.
Der Cyberkriminelle, der kein neues Konto bekam 😈
Gerade als die Bösen ihre Technik perfektioniert hatten, Trojaner unter den Namen beliebter Gems zu verpacken, schließt RubyGems ihnen die Tür vor der Nase. Jetzt müssen sie sich damit begnügen, alte Konten zu stehlen oder legitimen Code zu schreiben wie alle anderen. Schade, dass ihr Plan, die Welt durch gem install zu beherrschen, auf Eis gelegt wurde. Zumindest können ehrliche Entwickler aufatmen, ohne dass ihr bundle update zu einem russischen Roulette wird.