RubyGems, менеджер пакетов для Ruby, временно приостановил регистрацию новых пользователей после обнаружения сотен вредоносных гемов в своем репозитории. Эта мера направлена на сдерживание злоумышленников, распространяющих вредоносное программное обеспечение. Существующие разработчики по-прежнему могут публиковать и обновлять гемы, что защищает целостность экосистемы на время проверки новых учетных записей.
Как приостановка влияет на рабочий процесс в Ruby 🛑
Пауза в регистрации означает, что любой разработчик без предварительной учетной записи не сможет загружать пакеты до дальнейшего уведомления. Это затрагивает новые проекты или внешние вклады, которые зависят от публикации гемов с нуля. Однако обновления и исправления от существующих учетных записей остаются активными, что позволяет поддерживать критические библиотеки. RubyGems рекомендует использовать безопасные ключи API и проверять зависимости, внедряя дополнительные фильтры против вредоносного кода.
Киберпреступник, оставшийся без новой учетной записи 😈
Как раз когда злоумышленники отточили свою технику упаковки троянов под именами популярных гемов, RubyGems захлопывает дверь у них перед носом. Теперь им придется довольствоваться кражей старых учетных записей или писать легитимный код, как все остальные. Жаль, что их план по захвату мира через gem install был поставлен на паузу. По крайней мере, честные разработчики могут вздохнуть спокойно, не превращая свое bundle update в русскую рулетку.