Investigadores de ciberseguridad han descubierto una campaña única, **GemStuffer**, que apunta al repositorio **RubyGems**. A diferencia de los ataques típicos dirigidos al compromiso masivo de desarrolladores a través de malware, esta campaña utiliza la plataforma como un canal de exfiltración de datos. ### Actividad Inusual Según **Socket**, los paquetes involucrados no parecen diseñados para un compromiso generalizado. Muchos muestran poca o ninguna actividad de descarga, y sus payloads son repetitivos y autocontenidos. En cambio, estas gems obtienen páginas de los portales de servicios democráticos del gobierno local del Reino Unido, empaquetan las respuestas recopiladas en archivos .gem válidos y luego las publican de nuevo en RubyGems utilizando claves API codificadas. ### RubyGems Bajo Escrutinio Este desarrollo coincide con la desactivación temporal de los nuevos registros de cuentas por parte de **RubyGems** tras un importante ataque malicioso. Si bien un vínculo directo entre ambos eventos aún no está confirmado, Socket señala que GemStuffer exhibe un patrón de abuso similar, que implica el uso de paquetes recién creados con nombres basura para alojar datos raspados. ### Detalles Técnicos El ataque funciona raspando contenido de URLs codificadas de portales de ayuntamientos del Reino Unido. Las respuestas HTTP se empaquetan luego en archivos .gem válidos y se suben a **RubyGems** utilizando credenciales de registro incrustadas. En algunos casos, la gem maliciosa crea un entorno de credenciales temporal de **RubyGems**, anula la variable de entorno HOME, compila una gem localmente y la envía a **RubyGems** utilizando la interfaz de línea de comandos (CLI) `gem`. Otras variantes evitan la CLI, optando en su lugar por subir el archivo directamente a la API de **RubyGems** a través de una solicitud HTTP POST. Una vez publicada, los atacantes pueden acceder a los datos raspados ejecutando un comando `gem fetch` con el nombre y la versión de la gem.  ### Objetivo: Portales de Ayuntamientos del Reino Unido La campaña de raspado se dirige a los portales públicos ModernGov utilizados por ayuntamientos como Lambeth, Wandsworth y Southwark. El objetivo es recopilar calendarios de reuniones de comités, listados de puntos de la agenda, documentos PDF vinculados, información de contacto de funcionarios y contenido de feeds RSS. El objetivo final sigue sin estar claro, especialmente dado que la información es de acceso público.  ### Posibles Motivos **Socket** sugiere que la recopilación y el archivo sistemático de estos datos podrían ser una demostración de capacidad contra la infraestructura gubernamental. Otras posibilidades incluyen spam en el registro, un gusano de prueba de concepto, un raspador automatizado que hace un mal uso de **RubyGems** como capa de almacenamiento, o una prueba deliberada de abuso del registro de paquetes. Independientemente, la mecánica indica intencionalidad: generación repetida de gems, incrementos de versión, credenciales de **RubyGems** codificadas, envíos directos al registro y datos raspados incrustados dentro de los archivos de paquetes.