Cybersecurity-Forscher haben eine einzigartige Kampagne, **GemStuffer**, aufgedeckt, die das **RubyGems**-Repository ins Visier nimmt. Im Gegensatz zu typischen Angriffen, die auf eine weit verbreitete Kompromittierung von Entwicklern durch Malware abzielen, nutzt diese Kampagne die Plattform als Kanal zur Datenexfiltration. ### Ungewöhnliche Aktivität Laut **Socket** scheinen die beteiligten Pakete nicht für eine weit verbreitete Kompromittierung konzipiert zu sein. Viele weisen wenig bis gar keine Download-Aktivität auf, und ihre Payloads sind repetitiv und in sich geschlossen. Stattdessen rufen diese Gems Seiten von demokratischen Dienstleistungsportalen lokaler Regierungen im Vereinigten Königreich ab, verpacken die gesammelten Antworten in gültige .gem-Archive und veröffentlichen sie dann über hartkodierte API-Schlüssel zurück auf RubyGems. ### RubyGems unter Beobachtung Diese Entwicklung fällt mit der vorübergehenden Deaktivierung neuer Kontoanmeldungen durch **RubyGems** nach einem größeren bösartigen Angriff zusammen. Obwohl ein direkter Zusammenhang zwischen den beiden Ereignissen noch nicht bestätigt ist, stellt Socket fest, dass GemStuffer ein ähnliches Missbrauchsmuster aufweist, das die Verwendung neu erstellter Pakete mit Junk-Namen zur Speicherung abgegriffener Daten beinhaltet. ### Technische Details Der Angriff funktioniert, indem Inhalte von hartkodierten URLs britischer Ratsportale abgegriffen werden. Die HTTP-Antworten werden dann in gültige .gem-Archive verpackt und über eingebettete Registry-Anmeldeinformationen auf **RubyGems** hochgeladen. In einigen Fällen erstellt das bösartige Gem eine temporäre **RubyGems**-Anmeldeinformationsumgebung, überschreibt die HOME-Umgebungsvariable, baut ein Gem lokal und pusht es mit der `gem`-Kommandozeilenschnittstelle (CLI) auf **RubyGems**. Andere Varianten umgehen die CLI und laden das Archiv stattdessen direkt über eine HTTP POST-Anfrage an die **RubyGems**-API hoch. Nach der Veröffentlichung können Angreifer auf die abgegriffenen Daten zugreifen, indem sie einen `gem fetch`-Befehl mit dem Gem-Namen und der Version ausführen.  ### Ziel: Britische Ratsportale Die Scraping-Kampagne zielt auf öffentlich zugängliche ModernGov-Portale ab, die von Räten wie Lambeth, Wandsworth und Southwark genutzt werden. Ziel ist es, Kalender von Ausschusssitzungen, Listen von Tagesordnungspunkten, verknüpfte PDF-Dokumente, Kontaktinformationen von Beamten und RSS-Feed-Inhalte zu sammeln. Das endgültige Ziel bleibt unklar, insbesondere da die Informationen öffentlich zugänglich sind.  ### Mögliche Motive **Socket** vermutet, dass die systematische Sammlung und Archivierung dieser Daten eine Demonstration der Fähigkeiten gegen staatliche Infrastrukturen sein könnte. Andere Möglichkeiten sind Registry-Spam, ein Proof-of-Concept-Wurm, ein automatisierter Scraper, der **RubyGems** als Speicherschicht missbraucht, oder ein absichtlicher Test des Missbrauchs von Paketregistrierungen. Unabhängig davon deuten die Mechanismen auf Vorsatz hin: wiederholte Gem-Generierung, Versionserhöhungen, hartkodierte **RubyGems**-Anmeldeinformationen, direkte Registry-Pushes und abgegriffene Daten, die in Paketarchiven eingebettet sind.