GemStuffer: jak ponad 150 pakietów RubyGems posłużyło do eksfiltracji danych z brytyjskich portali samorządowych - Security Bez Tabu

GemStuffer: jak ponad 150 pakietów RubyGems posłużyło do eksfiltracji danych z brytyjskich portali samorządowych

Cybersecurity news

Wprowadzenie do problemu / definicja

GemStuffer to nazwa kampanii, w której rejestr pakietów RubyGems został wykorzystany nie jako klasyczny kanał dystrybucji złośliwego oprogramowania, lecz jako mechanizm przechowywania i publikowania danych pobieranych z zewnętrznych serwisów. To istotne odejście od znanego modelu zagrożeń supply chain, ponieważ legalna infrastruktura deweloperska posłużyła jako nośnik danych, a nie wyłącznie jako sposób infekowania użytkowników bibliotek.

W praktyce oznacza to, że poprawnie zbudowane archiwa .gem mogą zostać użyte jako pojemniki na zebrane informacje. Taki scenariusz utrudnia wykrywanie incydentu, ponieważ opublikowane artefakty formalnie wyglądają jak standardowe pakiety oprogramowania.

W skrócie

Badacze opisali kampanię obejmującą ponad 150 pakietów RubyGems, które automatycznie pobierały treści z publicznych portali brytyjskich rad lokalnych, a następnie umieszczały te dane w nowych paczkach publikowanych w rejestrze. Mechanizm wykorzystywał osadzone klucze API, automatyczne budowanie archiwów .gem oraz ich publikację przez CLI lub bezpośrednio przez API.

  • celem nie było przede wszystkim zainfekowanie deweloperów,
  • RubyGems pełnił rolę kanału transferu i magazynu danych,
  • pakiety miały często losowe nazwy i niską reputację,
  • odzyskanie danych było możliwe przez pobranie konkretnej wersji pakietu.

Kontekst / historia

Większość incydentów związanych z publicznymi rejestrami pakietów dotyczy typosquattingu, dependency confusion, przejęć kont maintainerów lub publikacji bibliotek zawierających backdoory, stealery czy droppery. W przypadku GemStuffer obserwowany model działania był inny. Pakiety nie wyglądały na przygotowane z myślą o szerokim użyciu przez społeczność Ruby, lecz raczej jako automatycznie generowane artefakty wspierające operację zbierania i przechowywania danych.

Kampania wpisuje się w szerszy trend nadużywania platform open source jako elementów infrastruktury przeciwnika. Publiczne rejestry pakietów coraz częściej są traktowane nie tylko jako cele ataku lub kanały dystrybucji malware, ale także jako ukryte magazyny danych, warstwy komunikacji i repozytoria artefaktów tworzonych automatycznie.

Analiza techniczna

Technicznie schemat działania był stosunkowo prosty, ale dobrze przemyślany operacyjnie. Złośliwe pakiety zawierały skrypty odwołujące się do zakodowanych na stałe adresów URL publicznych portali samorządowych typu democratic services. Po pobraniu odpowiedzi HTTP dane były pakowane do poprawnych archiwów .gem i publikowane przy użyciu osadzonych poświadczeń do RubyGems.

Zaobserwowano co najmniej dwa warianty publikacji. W pierwszym tworzono tymczasowe środowisko poświadczeń, ustawiano odpowiednie zmienne, lokalnie budowano pakiet i wypychano go standardowym poleceniem narzędzia gem. W drugim wariancie pomijano interfejs CLI i przesyłano archiwum bezpośrednio do API rejestru metodą HTTP POST.

Po opublikowaniu nowej wersji pakietu odzyskanie danych było bardzo proste. Wystarczało pobrać określoną nazwę i wersję gema, aby uzyskać osadzoną zawartość. W ten sposób RubyGems działał jednocześnie jako kanał publikacji oraz trwałe miejsce przechowywania danych.

Według ujawnionych ustaleń celem skryptów były publicznie dostępne portale używane przez jednostki samorządowe, w tym serwisy powiązane z obszarami Lambeth, Wandsworth i Southwark. Zbierane materiały obejmowały między innymi kalendarze posiedzeń, listy punktów obrad, dokumenty PDF, dane kontaktowe urzędników oraz zawartość kanałów RSS. Choć były to dane publiczne, ich automatyczne pobieranie, wersjonowanie i przechowywanie w rejestrze pakietów stanowiło wyraźne nadużycie infrastruktury.

Konsekwencje / ryzyko

Najważniejsze znaczenie tego incydentu wynika nie tylko z rodzaju pozyskiwanych danych, ale z samego precedensu. Jeżeli rejestr pakietów może zostać użyty jako warstwa eksfiltracji i przechowywania, to powierzchnia ataku dla ekosystemu wytwarzania oprogramowania istotnie się rozszerza.

W podobny sposób napastnicy mogą przechowywać nie tylko dane publiczne, ale również wyniki rekonesansu, fragmenty konfiguracji, tokeny, zrzuty odpowiedzi HTTP, a nawet informacje pozyskane z naruszeń środowisk developerskich. Problemem jest także ograniczona widoczność, ponieważ ruch do znanych rejestrów pakietów bywa uznawany za normalny i biznesowo uzasadniony.

  • trudniejsza detekcja ze względu na wykorzystanie zaufanej infrastruktury,
  • ryzyko ukrytego składowania danych w pozornie legalnych artefaktach,
  • wzrost kosztów moderacji i kontroli w ekosystemach open source,
  • osłabienie zaufania do publicznych rejestrów pakietów.

Rekomendacje

Organizacje korzystające z Ruby i RubyGems powinny rozszerzyć monitoring o zachowania mogące wskazywać na nadużycie rejestrów pakietów. Szczególną uwagę warto zwrócić na pakiety o losowych nazwach, niskiej reputacji, częstych przyrostach wersji oraz artefakty zawierające dane niezwiązane z deklarowaną funkcją biblioteki.

  • ograniczyć zakres i regularnie rotować tokeny API do rejestrów pakietów,
  • stosować zasadę najmniejszych uprawnień dla kont publikujących,
  • wymuszać uwierzytelnianie wieloskładnikowe dla maintainerów,
  • skanować zawartość pakietów przed publikacją i po pobraniu,
  • budować reguły wykrywające użycie narzędzi pakietowych poza typowym CI/CD,
  • korelować zdarzenia z monitoringiem ruchu wychodzącego do usług rejestrowych.

Operatorzy platform pakietowych powinni rozwijać detekcję opartą nie tylko na sygnaturach malware, ale również na analizie behawioralnej pakietów, reputacji kont, powiązań między tokenami a publikacjami oraz heurystykach identyfikujących artefakty pełniące funkcję nośników danych.

Podsumowanie

GemStuffer pokazuje, że współczesne zagrożenia dla łańcucha dostaw oprogramowania wykraczają poza klasyczne backdoory i złośliwe zależności. W tym przypadku RubyGems został wykorzystany jako legalnie wyglądający kanał publikacji i przechowywania danych pobieranych z publicznych portali samorządowych w Wielkiej Brytanii.

Dla zespołów AppSec, DevSecOps i SOC to wyraźny sygnał, że monitoring ekosystemów deweloperskich musi obejmować także nietypowe scenariusze eksfiltracji oraz nadużycia legalnej infrastruktury. Granica między repozytorium pakietów a infrastrukturą pomocniczą przeciwnika staje się coraz mniej wyraźna.

Źródła

  1. The Hacker News — GemStuffer Abuses 150+ RubyGems to Exfiltrate Scraped U.K. Council Portal Data — https://thehackernews.com/2026/05/gemstuffer-abuses-150-rubygems-to.html
  2. Socket — Research and threat analysis related to malicious packages in open source ecosystems — https://socket.dev/
  3. RubyGems Guides — gem command reference and package publishing workflow — https://guides.rubygems.org/