Los investigadores de ciberseguridad advierten a la gente sobre una nueva campaña llamada GemStuffer. Esta campaña se dirige al repositorio RubyGems, que contiene más de 150 gemas, y utiliza el registro como canal de filtración de datos en lugar de distribución de malware.
«El paquete no parece estar diseñado para comprometer a los desarrolladores a gran escala», afirmó Socket. «Muchos tienen poca o ninguna actividad de descarga, y sus cargas útiles son repetitivas, ruidosas e inusualmente autónomas».
«En cambio, el script recupera páginas de portales de servicios democráticos del gobierno local del Reino Unido, empaqueta las respuestas recopiladas en archivos .gem válidos y publica esas gemas en RubyGems utilizando una clave API codificada».
El desarrollo se produce después de que RubyGems deshabilitara temporalmente los registros de nuevas cuentas luego de lo que se describió como un ataque malicioso a gran escala. No está claro si las dos actividades están relacionadas, pero la firma de seguridad de aplicaciones dijo que GemStuffer cae en el «mismo patrón de explotación» de usar paquetes recién creados con nombres basura para alojar datos extraídos.
En términos generales, la campaña explota RubyGems como un lugar para presentar contenido extraído del consejo. Esto se hace tomando la URL codificada del portal del Parlamento del Reino Unido, empaquetando la respuesta HTTP en archivos .gem válidos y publicando esos archivos en RubyGems utilizando credenciales de registro integradas.
En algunos casos, las cargas útiles integradas en las gemas crean un entorno de credenciales de RubyGems temporal en «/tmp», anulan la variante del entorno HOME para construir la gema localmente y la envían a RubyGems mediante la interfaz de línea de comandos (CLI) de Gem, en lugar de depender de las credenciales de RubyGems existentes en la máquina de destino.
Se ha descubierto que otras variantes de la gema maliciosa omiten el componente CLI y cargan archivos directamente a la API de RubyGems a través de solicitudes HTTP POST. Una vez que se publica una nueva gema, todo lo que un atacante debe hacer es ejecutar un comando de «búsqueda de gemas» con el nombre y la versión de la gema para acceder a los datos extraídos.
Se descubrió que esta novedosa campaña de scraping estaba dirigida al portal público ModernGov utilizado por Lambeth, Wandsworth y Southwark, con el objetivo de recopilar calendarios de reuniones de comités, listas de agendas, documentos PDF vinculados, información de contacto de ejecutivos y contenido de fuentes RSS. No está claro cuál es exactamente el objetivo final, ya que la información parece ser de acceso público de todos modos.
Socket evaluó que la recopilación y el archivo masivos y sistemáticos de estos datos pueden permitir a los atacantes utilizar «el acceso al Portal del Congreso como eje para demostrar sus capacidades contra la infraestructura gubernamental».
«Podría ser spam de registro, un gusano de prueba de concepto, un raspador automatizado que explota RubyGems como capa de almacenamiento o una prueba deliberada de abuso de registro de paquetes», dijo Socket. «Pero la mecánica es intencional: generación repetida de gemas, incrementos de versión, credenciales de RubyGems codificadas, envíos directos de registro y datos extraídos incrustados en archivos de paquetes».
Source link
