GemStuffer злоупотреби 150+ RubyGems за кражба на податоци од британски општински портали

Истражувачи за сајбер-безбедност предупредуваат на нова кампања наречена GemStuffer, која го таргетирала складиштето RubyGems со повеќе од 150 gems-пакети што го користат регистарот како канал за ексфилтрација на податоци, наместо за дистрибуција на малициозен софтвер.

„Пакетите не изгледаат како да се дизајнирани за масовно компромитирање на програмери,“ соопшти Socket. „Многу од нив имаат малку или воопшто немаат преземања, а payload-ите се повторливи, бучни и необично самостојни.“

„Наместо тоа, скриптите преземаат страници од порталите за демократски услуги на локалните власти во Обединетото Кралство, ги пакуваат собраните одговори во валидни .gem архиви и повторно ги објавуваат тие gems на RubyGems користејќи хардкодирани API клучеви.“

Овој развој доаѓа откако RubyGems привремено ја оневозможи регистрацијата на нови кориснички сметки по, како што беше опишано, голем малициозен напад. Иако не е јасно дали двете активности се поврзани, компанијата за безбедност на апликации изјави дека GemStuffer се вклопува во „истиот модел на злоупотреба“, кој подразбира користење новокреирани пакети со бесмислени имиња за хостирање на преземените податоци.

На повисоко ниво, кампањата го злоупотребува RubyGems како место за складирање на преземената содржина од општинските портали. Тоа се прави така што се преземаат хардкодирани URL-адреси од британски општински портали, HTTP-одговорите се пакуваат во валидни .gem архиви, а потоа тие архиви се објавуваат на RubyGems користејќи вградени credentials за регистарот.

Во некои случаи, payload-от вграден во gem-пакетот создава привремена RubyGems credential околина во „/tmp“, ја менува HOME environment променливата, локално гради gem и го поставува на RubyGems преку command-line интерфејсот (CLI) на gem, наместо да се потпира на веќе постоечки RubyGems credentials на таргет-машината.

Други варијанти на малициозните gems биле откриени како го избегнуваат CLI-компонентот и наместо тоа директно ја прикачуваат архивата на RubyGems API преку HTTP POST барање. Откако новите gems ќе бидат објавени, сè што треба да направи напаѓачот е да изврши команда „gem fetch“ со името и верзијата на gem-пакетот за да пристапи до преземените податоци.

Новата кампања за автоматизирано преземање податоци (scraping) е откриена дека ги таргетира јавно достапните ModernGov портали што ги користат општините Lambeth Council, Wandsworth Council и Southwark Council, со цел да се соберат календари за состаноци на комисии, листи на точки од дневен ред, поврзани PDF-документи, контакт информации на службеници и содржина од RSS-канали.

Сè уште не е јасно кои се точните крајни цели, бидејќи информациите изгледа дека и онака се јавно достапни.

Од Socket проценуваат дека систематското масовно собирање и архивирање на овие податоци отвора можност напаѓачот да го користи „пристапот до општинските портали како почетна точка за демонстрирање способности против владина инфраструктура“.

„Ова може да биде spam во регистарот, proof-of-concept worm, автоматизиран scraper што го злоупотребува RubyGems како слој за складирање, или намерен тест за злоупотреба на package registry,“ велат од Socket. „Но механизмите се намерни: повторливо генерирање gems, зголемување на верзии, хардкодирани RubyGems credentials, директно објавување во регистарот и преземени податоци вградени во архивите на пакетите.“

Извори:

• The Hacker News – GemStuffer Abuses 150+ RubyGems to Exfiltrate Scraped U.K. Council Portal Data The Hacker News