(https://external-content.duckduckgo.com/iu/?u=https%3A%2F%2Fgeekflare.com%2Fwp-content%2Fuploads%2F2023%2F02%2Fcrypto-malware.png&f=1&nofb=1&ipt=3b26b38b3dceb52f0032d80616454846b498c41aec40c8ebaea065f20de03a33)
Se ha detectado una nueva campaña de ataques a la cadena de suministro de software que utiliza paquetes «durmientes» como conducto para distribuir posteriormente cargas maliciosas, las cuales facilitaron el robo de credenciales, la manipulación de GitHub Actions y el establecimiento de persistencia vía SSH.
(https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNz4euGufhcyWdY8TkRfdXBUj2XXZlzQWEb1QyI7otpos158ctsC236sEm2NAZ20sUZv4AOqrGCSTbjGsOOkMwhQv53ZjyrVXf9SVUsMfhvhQ4LzGL87j44f0kMkXRzBAoWeHDz8hywx4gbW_trN1mFk-xCCZatTf0zNsude7k-3WE9kIY_pPgza53qsdc/s1700-e365/buffer.jpg)
Esta actividad ha sido atribuida a la cuenta de GitHub «BufferZoneCorp», la cual ha publicado un conjunto de repositorios asociados con «gems» de Ruby y módulos de Go maliciosos. Al momento de redactar este informe, los paquetes han sido retirados de RubyGems y los módulos de Go han sido bloqueados. A continuación, se enumeran los nombres de dichas bibliotecas:
Ruby:
• knot-activesupport-logger
• knot-devise-jwt-helper
• knot-rack-session-store
• knot-rails-assets-pipeline
• knot-rspec-formatter-json
• knot-date-utils-rb (Sleeper gem)
• knot-simple-formatter (Sleeper gem)
Go:
• github[.]com/BufferZoneCorp/go-metrics-sdk
• github[.]com/BufferZoneCorp/go-weather-sdk
• github[.]com/BufferZoneCorp/go-retryablehttp
• github[.]com/BufferZoneCorp/go-stdlib-ext
• github[.]com/BufferZoneCorp/grpc-client
• github[.]com/BufferZoneCorp/net-helper
• github[.]com/BufferZoneCorp/config-loader
• github[.]com/BufferZoneCorp/log-core (Sleeper module)
• github[.]com/BufferZoneCorp/go-envconfig (Sleeper module)
Los paquetes identificados se hacen pasar por módulos reconocibles y conocidos —tales como activesupport-logger, devise-jwt, go-retryablehttp, grpc-client y config-loader— con el fin de evadir la detección y engañar a los usuarios para que los descarguen.
"La cuenta forma parte de una campaña en la cadena de suministro de software dirigida a desarrolladores, ejecutores de CI y entornos de compilación en dos ecosistemas", afirmó Kirill Boychenko, investigador de seguridad de Socket, en un análisis publicado.
Las gemas de Ruby están diseñadas para automatizar el robo de credenciales durante el proceso de instalación, recopilando variables de entorno, claves SSH, secretos de AWS, archivos .npmrc y .netrc, configuraciones de GitHub CLI y credenciales de RubyGems. Los datos robados son posteriormente exfiltrados a un punto de conexión de Webhook[.]site controlado por el atacante.
Por otro lado, los módulos de Go albergan capacidades más amplias para manipular flujos de trabajo de GitHub Actions, insertar envoltorios (wrappers) falsos de Go, robar datos de desarrolladores y añadir una clave pública SSH codificada directamente en el archivo "~/.ssh/authorized_keys" con el fin de obtener acceso remoto al host comprometido. No todos los módulos contienen la misma carga maliciosa; en su lugar, esta se encuentra distribuida a lo largo del clúster.
"El módulo se ejecuta a través de `init()`, detecta las variables GITHUB_ENV y GITHUB_PATH, establece los proxies HTTP_PROXY y HTTPS_PROXY, escribe un ejecutable falso de Go en un directorio de caché y añade dicho directorio a la ruta del flujo de trabajo, asegurando así que el envoltorio sea seleccionado antes que el binario legítimo", explicó Boychenko.
"De este modo, el envoltorio puede interceptar o influir en las ejecuciones posteriores de Go, sin dejar de transferir el control al binario legítimo para evitar que la tarea falle".
Se aconseja a los usuarios que hayan instalado estos paquetes que los eliminen de sus sistemas, busquen indicios de acceso a archivos confidenciales o de cambios no autorizados en el archivo "~/.ssh/authorized_keys", renueven las credenciales que hayan quedado expuestas e inspeccionen los registros de red en busca de tráfico HTTPS saliente dirigido al punto de exfiltración.
Fuente:
The Hacker News
https://thehackernews.com/2026/05/poisoned-ruby-gems-and-go-modules.html