Ein böswilliger Akteur, bekannt als GemStuffer, hat mehr als 150 RubyGems-Pakete kompromittiert, um Daten von britischen Gemeinderatsportalen zu extrahieren. Die Kampagne nutzt die Stuffing-Technik, bei der Gems mit ähnlichen Namen wie legitime Bibliotheken erstellt werden, um Entwickler zu täuschen. Nach der Installation sammeln diese Gems sensible Bürgerinformationen und Verwaltungsaufzeichnungen, die an vom Angreifer kontrollierte Server weitergeleitet werden.
Wie der Stuffing-Angriff im Ruby-Ökosystem funktioniert 🛡️
Der Angriff basiert auf der massenhaften Veröffentlichung von Gems mit Namen, die typografisch nahe an beliebten Bibliotheken liegen, wie Typosquatting oder Combosquatting. Nach der Installation führen sie Code aus, der Daten von Gemeinderatsportalen extrahiert, einschließlich Namen, Adressen und Aufzeichnungen öffentlicher Dienste. Die Exfiltration erfolgt über HTTP-Anfragen an entfernte Server. Die Erkennung ist komplex, da die bösartigen Gems grundlegende Funktionen der Originale nachahmen und ihre schädliche Ladung in sekundären Modulen oder durch Code-Verschleierung verstecken.
GemStuffer: der Datensammler, der nicht um Erlaubnis fragte 😅
Es scheint, als hätte GemStuffer das Konzept von Open Source wörtlich genommen: Alles, was sie in den Gemeinderatsportalen finden, gehört ihnen. Mit über 150 Gems haben sie eine Bibliothek fremder Daten aufgebaut, die jeden Archivar erblassen lassen würde. Das Lustige ist, dass sie anstatt eine öffentliche API zu nutzen, die Methode des "Bittens" per Malware bevorzugten. Wenigstens wissen sie jetzt, falls jemand fragt, dass der Code nicht ihr Eigentum war, sondern nur auf Durchreise.