RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。

...

RubyGems 工作人员表示，他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来，其已被下载 3584 次。如剔除同一库的不同版本，则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码，可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。

...

Github 去年推出的安全警告，极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务，可以搜索依赖寻找已知漏洞然后通过开发者，以便帮助开发者尽可能快的打上补丁修复漏洞，消除有漏洞的依赖或者转到安全版本。

...