Un attore malintenzionato noto come GemStuffer ha compromesso oltre 150 pacchetti RubyGems con l'obiettivo di estrarre dati dai portali dei consigli comunali del Regno Unito. La campagna utilizza la tecnica dello stuffing, creando gemme con nomi simili a librerie legittime per ingannare gli sviluppatori. Una volta installate, queste gemme raccolgono informazioni sensibili dei cittadini e registri amministrativi, esfiltrandole verso server controllati dall'attaccante.
Come opera l'attacco di stuffing nell'ecosistema Ruby 🛡️
L'attacco si basa sulla pubblicazione massiccia di gemme con nomi tipograficamente vicini a librerie popolari, come typosquatting o combosquatting. Una volta installate, eseguono codice che raspa dati dai portali dei municipi, inclusi nomi, indirizzi e registri di servizi pubblici. L'esfiltrazione avviene tramite richieste HTTP a server remoti. La rilevazione è complessa perché le gemme maligne imitano le funzioni di base di quelle originali, nascondendo il loro carico dannoso in moduli secondari o tramite offuscamento del codice.
GemStuffer: il collezionista di dati che non ha chiesto permesso 😅
Sembra che GemStuffer abbia interpretato il concetto di open source in modo letterale: tutto ciò che trovano nei portali comunali è loro. Con oltre 150 gemme, hanno creato una biblioteca di dati altrui che farebbe impallidire qualsiasi archivista. La cosa curiosa è che, invece di chiedere un'API pubblica, hanno preferito il metodo di chiedere per favore tramite malware. Almeno, se qualcuno chiede, sanno già che il codice non era loro, era solo di passaggio.