60 Ruby gems maliciosas descargadas 275.000 veces roban credenciales

AXCESS · Agosto 10, 2025, 01:07:23 AM

Sesenta gemas Ruby maliciosas que contienen código para robar credenciales se han descargado más de 275.000 veces desde marzo de 2023, dirigidas a cuentas de desarrolladores.

Socket descubrió estas gemas Ruby maliciosas, que informan que se dirigían principalmente a usuarios surcoreanos de herramientas de automatización para Instagram, TikTok, Twitter/X, Telegram, Naver, WordPress y Kakao.

RubyGems es el gestor de paquetes oficial del lenguaje de programación Ruby, que permite la distribución, instalación y gestión de bibliotecas Ruby, conocidas como gemas, de forma similar a npm para JavaScript o PyPI para Python.

Las gemas maliciosas de esta campaña se publicaron en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login bajo diversos alias a lo largo de los años. Los editores infractores son zon, nowon, kwonsoonje y soonje, distribuyendo la actividad entre varias cuentas para dificultar su rastreo y bloqueo.

La lista completa de paquetes maliciosos se encuentra en el informe de Socket, pero a continuación se presentan algunos casos notables de paquetes con nombres engañosos o typosquats:

Automatizadores tipo WordPress: wp_posting_duo, wp_posting_zon

Bots tipo Telegram: tg_send_duo, tg_send_zon

Herramientas SEO/backlink: backlink_zon, back_duo

Imitadores de plataformas de blogs: nblog_duo, nblog_zon, tblog_duopack, tblog_zon

Herramientas de interacción con Naver Café: cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment

Las 60 gemas destacadas en el informe de Socket presentan una interfaz gráfica de usuario (GUI) que parece legítima, así como la funcionalidad anunciada.

En la práctica, sin embargo, actúan como herramientas de phishing que exfiltran las credenciales que los usuarios ingresan en el formulario de inicio de sesión para los atacantes en una dirección de comando y control (C2) codificada (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr).

Fragmento de código malicioso presente en las 60 gemas

Los datos recopilados incluyen nombres de usuario y contraseñas en texto plano, direcciones MAC de dispositivos para la identificación de huellas digitales y el nombre del paquete para el seguimiento del rendimiento de las campañas.

En algunos casos, las herramientas responden con un mensaje falso de éxito o fracaso, aunque no se realiza ningún inicio de sesión real ni una llamada a la API del servicio real.

Socket ha encontrado registros de credenciales en mercados de la darknet de habla rusa que parecen derivar de estas gemas, basándose en interacciones con marketingduo[.]co[.]kr, un sitio web de herramientas de marketing dudoso vinculado al atacante.

Registros de Infostealer vinculados a la campaña

Los investigadores afirman que al menos 16 de las 60 gemas Ruby maliciosas siguen disponibles, aunque las han reportado todas al equipo de RubyGems tras su descubrimiento.

Los ataques a la cadena de suministro contra RubyGems no son nuevos y llevan varios años ocurriendo.

En junio, Socket reportó otro caso de gemas Ruby maliciosas que tergiversaron Fastlane, un plugin legítimo de código abierto que sirve como herramienta de automatización para desarrolladores de aplicaciones móviles, y que se dirigía específicamente a los desarrolladores de bots de Telegram.

Los desarrolladores deben examinar cuidadosamente las bibliotecas que obtienen de repositorios de código abierto para detectar indicios de código sospechoso, como partes ofuscadas, considerar la reputación y el historial de lanzamiento del editor, y bloquear las dependencias a versiones "seguras".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

60 Ruby gems maliciosas descargadas 275.000 veces roban credenciales

AXCESS

Agosto 10, 2025, 01:07:23 AM