Los investigadores de ciberseguridad llaman la atención sobre una nueva campaña denominada GemStuffer que se ha dirigido al repositorio RubyGems con más de 150 gemas que utilizan el registro como canal de filtración de datos en lugar de distribución de malware.
«Los paquetes no parecen diseñados para comprometer a los desarrolladores en masa», Socket dicho. «Muchos tienen poca o ninguna actividad de descarga, y las cargas útiles son repetitivas, ruidosas e inusualmente autónomas».
«En cambio, los scripts obtienen páginas de portales de servicios democráticos del gobierno local del Reino Unido, empaquetan las respuestas recopiladas en archivos .gem válidos y publican esas gemas en RubyGems utilizando claves API codificadas».
El desarrollo se produce cuando RubyGems deshabilitó temporalmente el registro de nuevas cuentas luego de lo que se describió como un gran ataque malicioso. Si bien no está claro si los dos conjuntos de actividades están relacionados, la compañía de seguridad de aplicaciones dijo que GemStuffer se ajusta al «mismo patrón de abuso», que implica el uso de paquetes recién creados con nombres basura para alojar los datos extraídos.
En un nivel alto, la campaña abusa de RubyGems como lugar para presentar el contenido del consejo eliminado. Para ello, obtiene las URL codificadas de los portales del consejo del Reino Unido, empaqueta las respuestas HTTP en archivos .gem válidos y publica esos archivos en RubyGems utilizando credenciales de registro integradas.
En algunos casos, la carga útil incrustada dentro de la gema crea un entorno de credenciales de RubyGems temporal en «/tmp», anula la variante del entorno HOME, crea una gema localmente y la envía a RubyGems usando el interfaz de línea de comandos de gemas (CLI), en lugar de depender de las credenciales de RubyGems preexistentes en la máquina de destino.
Se ha descubierto que otras variantes de las gemas maliciosas evitan el componente CLI y prefieren cargar el archivo directamente a la API de RubyGems a través de una solicitud HTTP POST. Una vez que se han publicado las nuevas gemas, todo lo que un atacante tiene que hacer es ejecutar un comando de «búsqueda de gemas» con el nombre y la versión de la gema para acceder a los datos extraídos.
Se ha descubierto que la novedosa campaña de scraping está dirigida a los portales públicos ModernGov utilizados por Lambeth, Wandsworth y Southwark, con el objetivo de recopilar calendarios de reuniones de comités, listados de elementos de la agenda, documentos PDF vinculados, información de contacto de funcionarios y contenido de feeds RSS. No está claro cuáles son exactamente los objetivos finales, ya que la información parece ser de acceso público de todos modos.
Socket ha evaluado que la recopilación y el archivo masivos y sistemáticos de estos datos plantea la posibilidad de que el atacante pueda estar aprovechando el «acceso al portal del consejo como pivote para demostrar su capacidad contra la infraestructura gubernamental».
«Puede ser spam de registro, un gusano de prueba de concepto, un raspador automatizado que utiliza indebidamente RubyGems como capa de almacenamiento o una prueba deliberada de abuso de registro de paquetes», dijo Socket. «Pero la mecánica es intencional: generación repetida de gemas, incrementos de versión, credenciales RubyGems codificadas, envíos directos de registro y datos extraídos incrustados dentro de archivos de paquetes».
