قام جهة ضارة تُعرف باسم GemStuffer باختراق أكثر من 150 حزمة RubyGems بهدف استخراج بيانات من بوابات المجالس البلدية في المملكة المتحدة. تستخدم الحملة تقنية الحشو، حيث تُنشئ جواهر بأسماء مشابهة للمكتبات الشرعية لخداع المطورين. بمجرد تثبيتها، تقوم هذه الجواهر بجمع معلومات حساسة عن المواطنين والسجلات الإدارية، وتُسرّبها إلى خوادم يسيطر عليها المهاجم.
كيف يعمل هجوم الحشو في نظام روبي البيئي 🛡️
يعتمد الهجوم على النشر الجماعي للجواهر بأسماء قريبة إملائيًا من المكتبات الشائعة، مثل typosquatting أو combosquatting. عند تثبيتها، تُنفّذ كودًا يقوم بكشط البيانات من بوابات المجالس البلدية، بما في ذلك الأسماء والعناوين وسجلات الخدمات العامة. يتم التسريب عبر طلبات HTTP إلى خوادم بعيدة. الاكتشاف معقد لأن الجواهر الخبيثة تُقلّد الوظائف الأساسية للجواهر الأصلية، مُخبئة حمولتها الضارة في وحدات ثانوية أو عبر تشويش الكود.
GemStuffer: جامع البيانات الذي لم يطلب الإذن 😅
يبدو أن GemStuffer فهم مفهوم المصدر المفتوح بشكل حرفي: كل ما يجدونه في بوابات البلدية هو ملكهم. مع أكثر من 150 جوهرة، قاموا ببناء مكتبة بيانات للغير تجعل أي أرشيفي يشعر بالشحوب. المضحك أنهم، بدلاً من طلب واجهة برمجة تطبيقات عامة، فضلوا طريقة الطلب عبر البرمجيات الخبيثة. على الأقل، إذا سأل أحدهم، فهم يعلمون أن الكود لم يكن ملكهم، بل كان عابرًا فقط.