Выявлено, что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных Rubygems. В ходе атаки в каталог был загружен подставной gem-модуль, содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организовано копирование текущей конфигурации сервера (была попытка выявления ключей доступа к сервису хранения Amazon S3) и её размещение на сайте обмена кодом Pastie.

После выявления следов взлома репозиторий был переведён в "режим обслуживания", gem-модуль и аккаунт атакующих удалён, а ключи доступа к сервису Amazon S3 заменены. В настоящее время часть функциональности Rubygems.org восстановлена в режиме только для чтения, ряд подсистем остаётся заблокированным: ограничена работа сайта и отключены Push API и V1 API. Администраторами проекта проводится проверка целостности размещённых в каталоге модулей для выявления возможного добавления вредоносных закладок. Проверка осуществляется по ранее сохранённым контрольным суммам, а также путём сверки содержимого зеркал. Сообщается, что 90% всех модулей уже проверены, следов их модификации не выявлено.

Источник: http://www.opennet.ru/opennews/art.shtml?num=35981