Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
GemStuffer sconvolge RubyGems: 150 pacchetti usati per esfiltrare dati e trasformare il registry in storage pubblico
La campagna GemStuffer sta attirando l’attenzione nel mondo della cybersecurity per un uso insolito della supply chain del software. Invece di puntare alla compromissione di massa degli sviluppatori con codice malevolo nascosto nelle dipendenze, gli attaccanti hanno caricato oltre 150 pacchetti RubyGems con un obiettivo diverso: trasformare il registry in un canale di data exfiltration e archiviazione.
Il meccanismo osservato sfrutta RubyGems come deposito pubblico per dati raccolti tramite web scraping. Gli script inclusi nei gem recuperano pagine da portali di servizi democratici di enti locali nel Regno Unito, impacchettano le risposte HTTP dentro archivi gem validi e pubblicano i pacchetti nel repository usando chiavi API hardcoded. Questo comportamento rende il registry una sorta di storage layer, dove i dati non vengono inviati a un server di comando e controllo tradizionale ma incapsulati dentro versioni successive di pacchetti.
In alcune varianti, il payload crea un ambiente temporaneo di credenziali RubyGems in una directory come /tmp, modifica la variabile HOME e costruisce localmente un gem per poi eseguire il push tramite la gem CLI. In altre, la pubblicazione avviene senza CLI, caricando direttamente l’archivio verso le API di RubyGems con una richiesta HTTP POST. Una volta pubblicati, i contenuti possono essere recuperati semplicemente con un comando gem fetch indicando nome e versione, rendendo banale l’accesso ai dati per chi controlla il flusso.
I portali presi di mira includono ModernGov, usato da diversi consigli locali. I dati raccolti comprendono calendari di riunioni, elenchi di punti all’ordine del giorno, documenti PDF collegati, contatti di funzionari e contenuti RSS. Anche se molte informazioni risultano pubbliche, la raccolta sistematica e l’archiviazione in blocco suggeriscono un possibile test di capacità, spam del registry o una dimostrazione di abuso infrastrutturale tramite registri di pacchetti.
Questo caso evidenzia un rischio spesso sottovalutato: i package registry possono essere abusati non solo per distribuire malware, ma anche per esfiltrare dati e aggirare controlli di rete usando canali legittimi.