近期，安全公司Socket发现超过60个恶意Ruby软件包（gems）在RubyGems平台上被下载了超过27.5万次。这些恶意包主要针对使用Instagram、TikTok、Twitter/X、Telegram、Naver、WordPress和Kakao等自动化工具的韩国用户。攻击者通过多个别名账户发布恶意包，旨在窃取用户的明文用户名和密码、设备MAC地址以及软件包名称等敏感信息。这些包伪装成合法工具，诱导用户输入凭证后发送至攻击者控制的服务器。尽管部分恶意包已被报告，但仍有部分可供下载。此类供应链攻击已持续多年，提醒开发者需谨慎审查开源库，评估发布者信誉，并锁定安全版本。

🛡️ 恶意Ruby包窃取凭证：自2023年3月起，超过60个恶意Ruby软件包（gems）在RubyGems平台累计下载量超27.5万次，主要针对韩国用户，窃取包括用户名、密码在内的敏感信息。

🎯 攻击目标广泛：这些恶意包伪装成WordPress自动化工具、Telegram机器人工具、SEO工具及博客平台仿冒工具等，通过提供看似合法的图形界面（GUI）诱骗用户输入凭证。

🔗 攻击手法隐蔽：攻击者使用多个别名账户发布恶意包，并通过硬编码的命令控制（C2）服务器地址（programzon[.]com、appspace[.]kr、marketingduo[.]co[.]kr）接收窃取数据，部分工具还会返回虚假信息掩盖真实目的。

⚠️ 供应链攻击持续：RubyGems供应链攻击并非首次出现，此前已有仿冒Fastlane的恶意包事件。这表明开源软件供应链安全仍面临严峻挑战，需要开发者警惕。

🔒 防范建议：开发者应严格审查从开源仓库获取的库文件，警惕混淆代码等可疑特征，评估发布者信誉与更新历史，并将依赖库锁定在“已知安全”的版本，以降低风险。

HackerNews 编译，转载请注明出处：

自2023年3月以来，60个包含凭证窃取代码的恶意Ruby软件包（gems）累计下载量已超27.5万次。这些恶意包由安全公司Socket发现，主要针对使用Instagram、TikTok、Twitter/X、Telegram、Naver、WordPress和Kakao自动化工具的韩国用户。

RubyGems作为Ruby编程语言的官方包管理器，负责Ruby库（即gems）的分发、安装和管理，其功能类似于JavaScript的npm或Python的PyPI。

攻击者使用zon、nowon、kwonsoonje和soonje等多个别名账户，将恶意包发布至RubyGems.org平台，通过分散操作增加追踪和拦截难度。以下是部分具有欺骗性命名或仿冒特征的典型包示例：

WordPress自动化工具：wp_posting_duo, wp_posting_zonTelegram机器人工具：tg_send_duo, tg_send_zonSEO/反向链接工具：backlink_zon, back_duo博客平台仿冒工具：nblog_duo, nblog_zon, tblog_duopack, tblog_zonNaver Café交互工具：cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment

这60个恶意包均具备看似合法的图形界面（GUI）并宣称提供相应功能。但实际上，它们会作为钓鱼工具，将用户在登录表单输入的凭证发送至攻击者硬编码的命令控制（C2）服务器地址（programzon[.]com、appspace[.]kr、marketingduo[.]co[.]kr）。窃取的数据包含：

明文用户名和密码用于设备指纹识别的MAC地址用于追踪攻击效果的软件包名称

部分工具会返回虚假的成功或失败消息，但并未向实际服务发起真正的登录或API调用。Socket研究人员在俄语暗网市场发现的凭证日志与此次攻击活动相关，这些日志的交互记录指向攻击者控制的营销工具站点marketingduo[.]co[.]kr。

尽管Socket已向RubyGems团队报告全部恶意包，但其中至少16个目前仍可获取。RubyGems供应链攻击并非首次出现，此类威胁已持续数年。例如今年6月，Socket曾报告另一起仿冒移动开发自动化工具Fastlane的恶意Ruby包事件，专门针对Telegram机器人开发者。

开发者应严格审查从开源仓库获取的库文件，警惕混淆代码等可疑特征，同时评估发布者信誉与更新历史，并将依赖库锁定在“已知安全”的版本。

 

 

 

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文