RubyGems — основной пакетный менеджер экосистемы Ruby — временно закрыл регистрацию новых аккаунтов после масштабной атаки на репозиторий. По словам представителей проекта и исследователей, злоумышленники массово создавали аккаунты и публиковали сотни вредоносных и «мусорных» пакетов.
Первым о проблеме сообщил старший менеджер Mend.io Масей Менсфельд (Maciej Mensfeld), который отвечает за безопасность цепочки поставок RubyGems. Изначально речь шла о «крупной атаке» и сотнях пакетов, часть из которых содержала эксплоиты. Позже стало ясно, что атакующие успели загрузить в репозиторий более 500 пакетов.
В результате регистрация в RubyGems была приостановлена, и теперь при попытке создать учетную запись выводится соответствующее сообщение. Как пояснили сопровождающие проекта, ограничения сохранятся еще несколько дней: в настоящее время команда внедряет дополнительные лимиты на создание аккаунтов и настраивает защиту через WAF совместно со специалистами Fastly.
По информации представителей RubyGems, атака представляла собой координированную спам-кампанию по публикации пакетов через свежесозданные учетные записи. Сейчас все вредоносные пакеты уже удалены, и аккаунты злоумышленников заблокированы.
Предполагается, что целью атакующих были не разработчики, а сам репозиторий. Менсфельд сообщил, что злоумышленники пытались проводить XSS-атаки и экспериментировали с эксфильтрацией данных. Также он признал, что происходящее могло быть лишь прикрытием для более серьезной вредоносной активности.
«У меня плохое предчувствие насчет этой атаки на RubyGems: возможно, за ней скрывается что-то более сложное. Доказательств нет, просто интуиция ИБ-исследователя. Надеюсь, я ошибаюсь», — написал он в соцсети X.
Следует отметить, что инцидент произошел на фоне обнаружения другой странной кампании, которую исследователи из компании Socket назвали GemStuffer. Эксперты обнаружили более 150 пакетов в RubyGems, которые использовали репозиторий не для распространения малвари, а как канал для хранения и вывода данных.
Пакеты автоматически скачивали информацию с британских муниципальных порталов, упаковывали полученные данные в архивы .gem и публиковали их в RubyGems с помощью жестко закодированных API-ключей.
Исследователи пояснили, что речь идет о календарях заседаний, PDF-документах, RSS-лентах и контактных данных сотрудников. Пока конечная цель этой активности неясна, так как собираемая информация была публичной.
«Это может быть спам в реестре, экспериментальный червь, автоматизированный скрапер, использующий RubyGems в качестве хранилища, или сознательный эксперимент по злоупотреблению инфраструктурой репозитория», — пишут специалисты Socket.
