Ataque masivo de RubyGems: Desarrolladores sin datos ni control sobre sus cuentas

Ciberataques RubyGems Socket Paquetes maliciosos Credenciales Cadena de suministro Desarrolladores Código malicioso
Ataque masivo de RubyGems: Desarrolladores sin datos ni control sobre sus cuentas
Ciberataques RubyGems Socket Paquetes maliciosos Credenciales Cadena de suministro Desarrolladores Código malicioso

Los delincuentes crearon un teatro digital de ilusiones donde cada clic acercaba el desastre.

image

Investigadores de la empresa Socket descubrieron un total de 60 paquetes maliciosos en RubyGems.org que se hacían pasar por herramientas populares de automatización para redes sociales y blogs, pero que en realidad incorporaban funciones de phishing para robar credenciales.

Todos estaban dirigidos principalmente a desarrolladores de Corea del Sur que utilizaban automatización para Instagram, TikTok, X, Telegram, Naver, WordPress y Kakao. Los autores de los paquetes operaban a través de varias cuentas (zon, nowon, kwonsoonje, soonje) para dificultar su bloqueo.

Para camuflarse, los gems maliciosos incluían una interfaz gráfica funcional y las características anunciadas, pero al introducir el nombre de usuario y la contraseña, los datos se enviaban en texto claro a servidores C2 preconfigurados — programzon[.]com, appspace[.]kr y marketingduo[.]co[.]kr. Además de las credenciales, se recopilaban la dirección MAC del dispositivo y el nombre del paquete (para rastrear la «eficacia de la campaña»). En algunos casos, la herramienta incluso simulaba un inicio de sesión «exitoso», aunque en realidad no se establecía conexión con el servicio legítimo.

En la lista había ejemplos típicos de suplantación y errores tipográficos:

  • wp_posting_duo, wp_posting_zon — para WordPress;
  • tg_send_duo, tg_send_zon — para bots de Telegram;
  • backlink_zon, back_duo — SEO/linkbuilding;
  • nblog_duo, nblog_zon, tblog_duopack, tblog_zon — plataformas de blogs;
  • cafe_basics[_duo], cafe_buy[_duo], cafe_bey y otros — para Naver Café.

Socket logró vincular los datos robados con registros vendidos en mercados de la darknet, que contenían interacciones con esos mismos dominios C2. Al momento de la publicación, al menos 16 paquetes maliciosos seguían disponibles públicamente, y todos fueron remitidos al equipo de RubyGems para su revisión.

No es la primera vez que se producen ataques contra RubyGems. En junio, Socket ya informó sobre gems falsos que imitaban el plugin Fastlane y que interceptaban tokens de bots de Telegram.

Para reducir el riesgo de inyección de código malicioso, se recomienda a los desarrolladores revisar cuidadosamente el código de las bibliotecas antes de usarlas, evaluar la reputación del autor, fijar las dependencias en versiones seguras y probar los nuevos paquetes en un entorno aislado.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!

Noticias sobre el tema

Tres líneas de código y Triton se rindió. Los atacantes obtuvieron el control total

GreedyBear infectó Firefox. Un millón de dólares perdidos con las claves privadas

Haz clic y destruye tu sistema. ClickFix enseña a los usuarios a trabajar para hackers

Hackers han penetrado el sistema judicial. Se han expuesto datos de testigos y casos clasificados

Triple amenaza desde las profundidades de Qualcomm. Android está a punto de ser hackeado. ¿Ya actualizaste?

Una sola importación al proyecto: los servidores Windows y Linux están bajo el control de hackers

¿Compraste un bolso de Chanel? ¡Qué gusto! Qué lástima que tus datos estén ahora en manos de hackers

“Nada confidencial se filtró”, asegura Google, mientras ShinyHunters comprime tu negocio en un ZIP con sonrisa burlona

Ghost Calls convirtieron las videollamadas en túneles invisibles para hackers, y nadie se dio cuenta