60 вредоносных библиотек Ruby украли учётные данные у разработчиков — 275 тысяч загрузок

Специалисты из компании Socket обнаружили крупномасштабную операцию, в ходе которой свыше 275 тысяч загрузок пришлось на 60 вредоносных Ruby-библиотек (gems) с марта месяца 2023 года. Эти пакеты маскировались под безопасные инструменты для автоматизации задач в Instagram, TikTok, Telegram, WordPress и других платформах, но фактически занимались похищением учетных данных пользователей.

Опасные библиотеки распространялись через официальный репозиторий RubyGems.org, используя разнообразные имена, такие как zon, nowon, kwonsoonje и soonje, что затрудняло их обнаружение и нейтрализацию. Среди них были фальшивые плагины для WordPress («wp_posting_duo»), боты для Telegram («tg_send_zon»), инструменты для SEO («backlink_zon») и даже сервисы для Naver Café. Все пакеты были оснащены рабочим графическим интерфейсом и не вызывали подозрений.

В действительности же они пересылали введенные данные – логины, пароли, MAC-адреса устройств – на заранее определенные серверы злоумышленников (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr). В некоторых случаях эти «инструменты» даже создавали видимость успешной авторизации, хотя на самом деле подключение к сервису не происходило. Согласно информации, предоставленной Socket, украденные данные уже были обнаружены на русскоязычных форумах в даркнете.

Некоторые из вредоносных пакетов все еще находятся в RubyGems, несмотря на то, что об их существовании было сообщено администрации платформы. Эксперты советуют: перед установкой библиотек из открытых репозиториев необходимо проверять репутацию разработчика, анализировать код на наличие сомнительных элементов и использовать исключительно надежные версии зависимостей.