サイバーセキュリティ研究者たちは、**RubyGems**リポジトリを標的としたユニークなキャンペーン、「**GemStuffer**」を発見しました。このキャンペーンは、マルウェアによる広範な開発者侵害を目的とした典型的な攻撃とは異なり、プラットフォームをデータ流出チャネルとして利用しています。 ### 異常な活動 **Socket**によると、関与しているパッケージは広範な侵害を目的としているようには見えません。多くはダウンロード活動がほとんどなく、ペイロードは繰り返しで自己完結型です。代わりに、これらのgemは英国地方政府の民主サービスポータルからページを取得し、収集したレスポンスを有効な.gemアーカイブにパッケージ化し、ハードコードされたAPIキーを使用してRubyGemsに再度公開しています。 ### 監視下のRubyGems この展開は、**RubyGems**が大規模な悪意のある攻撃を受けて新規アカウント登録を一時停止した時期と重なります。両イベントの直接的な関連性は確認されていませんが、SocketはGemStufferが同様の悪用パターンを示しており、スクレイピングされたデータをホストするためにジャンク名を持つ新規作成パッケージを使用していると指摘しています。 ### 技術的詳細 この攻撃は、ハードコードされた英国のカウンシルポータルのURLからコンテンツをスクレイピングすることで機能します。HTTPレスポンスは有効な.gemアーカイブにパッケージ化され、埋め込まれたレジストリ認証情報を使用して**RubyGems**にアップロードされます。一部のバリアントでは、悪意のあるgemが一時的な**RubyGems**認証情報環境を作成し、HOME環境変数をオーバーライドし、ローカルでgemをビルドし、`gem`コマンドラインインターフェイス（CLI）を使用して**RubyGems**にプッシュします。 他のバリアントはCLIをバイパスし、代わりにHTTP POSTリクエストを介してアーカイブを直接**RubyGems** APIにアップロードすることを選択します。公開されると、攻撃者はgem名とバージョンを指定した`gem fetch`コマンドを実行することで、スクレイピングされたデータにアクセスできます。  ### 標的：英国カウンシルポータル スクレイピングキャンペーンは、ランベス、ワンズワース、サザークなどのカウンシルが使用する公開されているModernGovポータルを標的にしています。目的は、委員会の会議カレンダー、議題項目リスト、関連するPDFドキュメント、担当者連絡先情報、およびRSSフィードコンテンツを収集することです。情報が公開されていることを考えると、最終的な目的は不明瞭なままです。  ### 考えられる動機 **Socket**は、このデータの体系的な収集とアーカイブが、政府インフラストラクチャに対する能力の実証である可能性があると示唆しています。その他の可能性としては、レジストリスパム、概念実証ワーム、**RubyGems**をストレージレイヤーとして誤用する自動スクレイパー、またはパッケージレジストリの悪用を意図的にテストしているなどが考えられます。いずれにせよ、そのメカニズムは意図性を示唆しています。繰り返しのgem生成、バージョンインクリメント、ハードコードされた**RubyGems**認証情報、直接のレジストリプッシュ、およびパッケージアーカイブ内に埋め込まれたスクレイピングデータです。