Злоумышленник, известный как GemStuffer, скомпрометировал более 150 пакетов RubyGems с целью кражи данных с порталов городских советов Великобритании. Кампания использует технику stuffing, создавая гемы с именами, похожими на легитимные библиотеки, чтобы обмануть разработчиков. После установки эти гемы собирают конфиденциальную информацию о гражданах и административные записи, пересылая её на серверы, контролируемые атакующим.
Как работает атака stuffing в экосистеме Ruby 🛡️
Атака основана на массовой публикации гемов с именами, типографически близкими к популярным библиотекам, такими как typosquatting или combosquatting. После установки они выполняют код, который собирает данные с порталов мэрий, включая имена, адреса и записи о коммунальных услугах. Пересылка данных осуществляется через HTTP-запросы на удалённые серверы. Обнаружение затруднено, так как вредоносные гемы имитируют базовые функции оригиналов, скрывая свою вредоносную нагрузку во вторичных модулях или с помощью обфускации кода.
GemStuffer: коллекционер данных, который не спрашивал разрешения 😅
Похоже, GemStuffer понял концепцию open source буквально: всё, что они находят на муниципальных порталах, принадлежит им. С более чем 150 гемами они создали библиотеку чужих данных, которая заставила бы побледнеть любого архивариуса. Забавно, что вместо того, чтобы запросить публичный API, они предпочли метод «попросить, пожалуйста» с помощью вредоносного ПО. По крайней мере, если кто-то спросит, они уже знают, что код был не их, он просто временно находился у них.