Массовая атака на RubyGems. Разработчики остались без данных и контроля над аккаунтами

RubyGems Socket вредоносные пакеты учетные данные цепочка поставок разработчики вредоносный код
Массовая атака на RubyGems. Разработчики остались без данных и контроля над аккаунтами
RubyGems Socket вредоносные пакеты учетные данные цепочка поставок разработчики вредоносный код

Преступники создали цифровой театр иллюзий, где каждый клик приближал катастрофу.

image

Исследователи из компании Socket выявили сразу 60 вредоносных пакетов на RubyGems.org, которые выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый функционал для кражи учётных данных.

Все они были ориентированы в первую очередь на разработчиков из Южной Кореи, использующих автоматизацию для Instagram, TikTok, X, Telegram, Naver, WordPress и Kakao. Авторы пакетов действовали через несколько учётных записей (zon, nowon, kwonsoonje, soonje), чтобы затруднить блокировку.

Для маскировки вредоносные гемы имели рабочий графический интерфейс и заявленный функционал, однако при вводе логина и пароля данные в открытом виде отправлялись на заранее прописанные C2-сервера — programzon[.]com, appspace[.]kr и marketingduo[.]co[.]kr. Помимо учётных данных, собирались MAC-адрес устройства и название пакета (для отслеживания «эффективности кампании»). Иногда инструмент даже имитировал «успешный» вход, хотя на самом деле соединения с реальным сервисом не происходило.

В списке — типичные примеры подмены и опечаток:

  • wp_posting_duo, wp_posting_zon — под WordPress;
  • tg_send_duo, tg_send_zon — под Telegram-боты;
  • backlink_zon, back_duo — SEO/линкбилдинг;
  • nblog_duo, nblog_zon, tblog_duopack, tblog_zon — блог-платформы;
  • cafe_basics[_duo], cafe_buy[_duo], cafe_bey и др. — под Naver Café.

Socket смог связать украденные данные с логами, продаваемыми на даркнет-площадках — они содержали взаимодействия с теми же C2-доменами. На момент публикации минимум 16 вредоносных пакетов всё ещё находились в открытом доступе, и все они были переданы на рассмотрение команде RubyGems.

Это не первый случай атак на RubyGems. В июне Socket уже сообщал о поддельных гемах, мимикрирующих под плагин Fastlane, которые перехватывали токены Telegram-ботов.

Чтобы исключить риск внедрения вредоносного кода, разработчикам рекомендуется тщательно проверять код библиотек перед использованием, оценивать репутацию автора, фиксировать зависимости на безопасные версии и тестировать новые пакеты в изолированной среде.