RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。 这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。...

（图自：GitHub，via ZDNet） 昨天，人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库，荷兰开发人者 Jan DIntel分析称：
恶意代码会收集受感染系统的 URL 和环境变量，并将之发送到位于乌克兰的远程服务器。

根据用户的设置，这可能包括当前使用的服务凭证，...

Github 去年推出的安全警告，极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务，可以搜索依赖寻找已知漏洞然后通过开发者，以便帮助开发者尽可能快的打上补丁修复漏洞，消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法，目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中，有将近一半的在一周之内得到了响应，前7天的漏洞解决率大约为 30%。实际上，情况可能更好，因为当把统计限制在最近有贡献的库时，也就是说过去 90 天中有贡献的库，...