Um ator malicioso conhecido como GemStuffer comprometeu mais de 150 pacotes RubyGems com o objetivo de extrair dados de portais de conselhos municipais do Reino Unido. A campanha utiliza a técnica de stuffing, criando gems com nomes semelhantes a bibliotecas legítimas para enganar desenvolvedores. Uma vez instaladas, essas gems coletam informações sensíveis de cidadãos e registros administrativos, exfiltrando-as para servidores controlados pelo atacante.
Como opera o ataque de stuffing no ecossistema Ruby 🛡️
O ataque se baseia na publicação massiva de gems com nomes tipograficamente próximos de bibliotecas populares, como typosquatting ou combosquatting. Ao serem instaladas, executam código que raspa dados de portais de prefeituras, incluindo nomes, endereços e registros de serviços públicos. A exfiltração é realizada por meio de requisições HTTP para servidores remotos. A detecção é complexa porque as gems maliciosas imitam funções básicas das originais, ocultando sua carga danosa em módulos secundários ou por meio de ofuscação de código.
GemStuffer: o coletor de dados que não pediu permissão 😅
Parece que o GemStuffer entendeu o conceito de open source de forma literal: tudo o que encontram nos portais municipais é deles. Com mais de 150 gems, montaram uma biblioteca de dados alheia que faria qualquer arquivista empalidecer. O curioso é que, em vez de pedir uma API pública, preferiram o método de pedir por favor através de malware. Pelo menos, se alguém perguntar, já sabem que o código não era deles, só estava de passagem.