RubyGems, le gestionnaire de paquets pour Ruby, a temporairement suspendu l'enregistrement de nouveaux utilisateurs après avoir détecté des centaines de gems malveillantes dans son référentiel. Cette mesure vise à freiner les acteurs distribuant des logiciels nuisibles. Les développeurs existants peuvent toujours publier et mettre à jour des gems, protégeant ainsi l'intégrité de l'écosystème pendant que les nouveaux comptes sont examinés.
Comment la suspension affecte le flux de travail en Ruby 🛑
La pause dans les enregistrements implique que tout développeur sans compte préexistant ne pourra pas télécharger de paquets jusqu'à nouvel ordre. Cela impacte les nouveaux projets ou les contributions externes qui dépendent de la publication de gems à partir de zéro. Cependant, les mises à jour et les correctifs des comptes existants restent actifs, ce qui permet de maintenir les bibliothèques critiques. RubyGems recommande d'utiliser des clés API sécurisées et de vérifier les dépendances, tout en mettant en œuvre des filtres supplémentaires contre le code malveillant.
Le cybercriminel qui s'est retrouvé sans nouveau compte 😈
Juste au moment où les méchants avaient perfectionné leur technique d'empaquetage de chevaux de Troie avec des noms de gems populaires, RubyGems leur ferme la porte au nez. Maintenant, ils devront se contenter de voler de vieux comptes ou d'écrire du code légitime comme tout le monde. Dommage que leur plan de domination mondiale via gem install ait été mis en pause. Au moins, les développeurs honnêtes peuvent respirer sans que leur bundle update ne soit une roulette russe.