RubyGems: 60 вредоносных gems с корейским интерфейсом крадут учётные данные

Вредоносная кампания, использующая репозиторий RubyGems, распространила как минимум 60 malicious gems, маскирующихся под инструменты автоматизации для работы с социальными сетями и маркетинговыми платформами. Эксплойт сочетает простые графические интерфейсы на корейском языке и скрытую отправку учетных данных на серверы, контролируемые злоумышленниками.

Краткое описание механики атаки

• Каждый gem включает лёгкий GUI, реализованный с помощью Glimmer-DSL-LibUI, интерфейс представлен на корейском языке.
• Пользователей просят ввести учетные данные для социальных сетей, блог-платформ или мессенджеров (вводные подсказки, поля ID и пароль оформлены по корейским стандартам).
• Собранные учетные данные не используются локально или для законной аутентификации по API; вместо этого они немедленно отправляются через HTTP POST на серверы злоумышленников.
• В качестве точек сбора используются домены вроде programzon.com, appspace.kr и marketingduo.co.kr с конечными точками типа /auth/program/signin и /bbs/login_check.php — по сути простые PHP‑bbs, функционирующие как панели сбора учетных данных.

«Собранные учетные данные не используются локально или для законной аутентификации по API; вместо этого они немедленно отправляются через HTTP POST–запросы на серверы, контролируемые злоумышленником.»

Хронология и охват

Возможность кражи учетных данных активна по крайней мере с марта 2023 года. Кампания разворачивается волнами: четыре псевдонима на RubyGems выпустили 60 gems в согласованных сериях, каждая волна добавляла поддержку новой платформы.

• Начальная поддержка — TikTok.
• Далее — поэтапное добавление: Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), Twitter/X, Telegram, Naver, WordPress и другие экосистемы.
• Периодичность выпусков — примерно по одному новому кластеру каждые 2–3 месяца.
• Хотя интерфейсы и большинство подсказок направлены на южнокорейскую аудиторию, отсутствие геозонирования делает полезную нагрузку доступной глобально.

Таргетинг и жертвы

Похоже, что кампания явно ориентирована на южнокорейских пользователей: все GUI, текстовая справка, сообщения и внутренние имена переменных — на корейском языке. Главные поражённые группы:

• GreyHat-маркетологи — заметная категория жертв: журналы Infostealer из скомпрометированных систем, связанных с marketingduo.co.kr, фиксируют автоматическую активность в социальных сетях, ведении блогов, SEO и обмене сообщениями.
• Операторы сервисов массовых публикаций и торговые площадки с поддельными аккаунтами — используют ботов для массового размещения сообщений, поэтому являются привлекательной добычей для credential‑stealers.
• Пользователи финансовых форумов — в рамках той же кампании появились gems, продаваемые как автопостеры для финансовых форумов (например, njongto_duo и jongmogtolon), нацеленные на комнаты обсуждений акций: они одновременно наводняют форумы упоминаниями тикеров и собирают учетные данные пользователей.

Технические детали

• Инструментарий UI: Glimmer-DSL-LibUI — лёгкие графические формы для ввода логина/пароля.
• Экфильтрация: немедленная отправка данных через HTTP POST на контролируемые злоумышленниками домены; конечные точки — простые PHP-скрипты bbs/board типа /auth/program/signin и /bbs/login_check.php.
• Размещение: четыре аккаунта/псевдонима в RubyGems, координирующие выпуск вредоносных пакетов волнами.
• Глобальная доступность полезной нагрузки при прицеливании преимущественно на корейский рынок.

Рекомендации по защите

Практические меры, которые помогут снизить риск:

• Не устанавливать неизвестные или непроверенные gems; проверять репутацию авторов и историю изменений.
• Аудит кода зависимостей перед установкой — особенно если пакет запрашивает ввод учетных данных или предоставляет GUI.
• Использовать официальные API и инструменты вместо сторонних автопостеров и «серых» маркетинговых сервисов.
• Ограничить сетевой доступ для сред разработки: блокировать домены и конечные точки, перечисленные выше, на уровне сети/файервола.
• Внедрить мониторинг исходящего трафика и DLP‑контролей на рабочих станциях и CI/CD-серверах.
• Принять политику многофакторной аутентификации (2FA) и регулярной ротации паролей — даже при компрометации пароля злоумышленник получит ограниченный доступ.
• Сообщать о подозрительных gems в службу поддержки RubyGems и принимать меры по удалению вредоносных пакетов.

Вывод

Кампания демонстрирует хорошо организованный, поэтапный подход: злоумышленники выпускают согласованные волны вредоносных gems, расширяя охват платформ и целевую аудиторию. Особую опасность представляют услуги «серого» маркетинга и автопостеры для финансовых форумов — их пользователи чаще всего и становятся жертвами. Приоритет защиты — осторожность при установке пакетов, аудит кода и внедрение сетевых и аутентификационных барьеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.