一个名为 GemStuffer 的恶意行为者已入侵超过 150 个 RubyGems 软件包,旨在窃取英国市政委员会门户网站的数据。该活动采用填充技术,创建与合法库名称相似的 gem,以欺骗开发者。一旦安装,这些 gem 会收集公民的敏感信息和行政记录,并将其泄露至攻击者控制的服务器。
填充攻击如何在 Ruby 生态系统中运作 🛡️
该攻击基于大规模发布与流行库名称拼写相近的 gem,例如域名仿冒或组合仿冒。一旦安装,它们会执行代码,从市政委员会门户网站抓取数据,包括姓名、地址和公共服务记录。数据通过 HTTP 请求泄露到远程服务器。检测起来很复杂,因为恶意 gem 模仿原始库的基本功能,将恶意负载隐藏在辅助模块中或通过代码混淆实现。
GemStuffer:未经许可的数据收集者 😅
看来 GemStuffer 对开源概念的理解很直接:他们在市政门户网站上找到的一切都是他们的。凭借超过 150 个 gem,他们建立了一个他人的数据库,足以让任何档案管理员相形见绌。有趣的是,他们没有请求公共 API,而是更喜欢通过恶意软件来“请求”。至少,如果有人问起,他们知道代码不是他们的,只是路过而已。