安全公司Socket近日披露,自2023年3月以来,已有超过60个嵌入窃取凭证代码的恶意Ruby gems,在RubyGems官方平台被下载超过27.5万次,受害者主要为使用Instagram、TikTok、Telegram、Naver、WordPress及Kakao自动化工具的开发者,重点集中在韩国市场。
据Socket分析,这些恶意gems通过多个伪造账户,如zon、nowon、kwonsoonje和soonje,长期在RubyGems.org平台上发布,以规避追踪和封禁。它们通常伪装为自动化、SEO或社交媒体相关工具,界面和功能高度仿真,但实则暗中将用户输入的账号、密码及MAC地址等敏感信息发送到攻击者事先指定的命令与控制服务器,包括programzon[.]com、appspace[.]kr等地址。
研究人员还发现,被窃数据已出现在俄语暗网市场,疑似用于进一步犯罪活动。目前,尽管相关恶意gems已被报告给RubyGems官方,仍有至少16个尚未下架。此次事件再次警示开源供应链安全风险,提醒开发者加强依赖项安全审核。