In een populaire Ruby-library waar applicatieontwikkelaars gebruik van maken hebben onderzoekers een backdoor ontdekt waardoor een aanvaller op afstand code kon uitvoeren. Het gaat om Bootstrapp-Sass. Bootstrap is een webframework en de "Sass-powered" versie kan binnen Sass-applicaties worden gebruikt. Volgens de website Rubygems is Bootstrap-Sass bijna 28 miljoen keer gedownload.

Op 26 maart verscheen er een kwaadaardige versie van Bootstrap-Sass in de officiële RubyGems-repository. Via deze website kunnen ontwikkelaars allerlei libraries downloaden en binnen hun applicatie gebruiken. De backdoor die aan Bootstrap-Sass was toegevoegd laat een aanvaller op afstand commando's binnen server-side Rails-applicaties uitvoeren.

Op dezelfde dag dat de gebackdoorde versie werd gepubliceerd waarschuwde Derek Barnes op GitHub dat deze versie verdachte code bevatte. Niet veel later werd de besmette versie van RubyGems.org verwijderd. Volgens securitybedrijf Snyk zijn mogelijk 1670 GitHub-repositories aan de kwaadaardige library blootgesteld. Het aantal zal waarschijnlijk veel groter zijn wanneer het gebruik binnen applicaties wordt geteld.

Hoe de kwaadaardige versie kon worden gepubliceerd is nog altijd onduidelijk. De twee beheerders van Bootstrap-Sass claimden eerst dat hun accounts niet gecompromitteerd zijn. Daarnaast blijkt dat er voor RubyGems geen log wordt bijgehouden van wie de versie heeft gepubliceerd. Wel erkent één van de beheerders dat hij een "relatief zwak wachtwoord" voor RubyGems gebruikte. De andere beheerder vermoedt dat één van de accounts mogelijk via een hergebruikt wachtwoord is gecompromitteerd.