Pesquisadores de cibersegurança descobriram uma campanha única, **GemStuffer**, visando o repositório **RubyGems**. Diferente de ataques típicos voltados para comprometimento em massa de desenvolvedores através de malware, esta campanha utiliza a plataforma como um canal de exfiltração de dados. ### Atividade Incomum De acordo com a **Socket**, os pacotes envolvidos não parecem projetados para comprometimento generalizado. Muitos exibem pouca ou nenhuma atividade de download, e seus payloads são repetitivos e autônomos. Em vez disso, essas gems buscam páginas dos portais de serviços democráticos de governos locais do Reino Unido, empacotam as respostas coletadas em arquivos .gem válidos e, em seguida, as publicam de volta no RubyGems usando chaves de API codificadas. ### RubyGems Sob Escrutínio Este desenvolvimento coincide com o **RubyGems** desabilitando temporariamente o registro de novas contas após um grande ataque malicioso. Embora um link direto entre os dois eventos permaneça não confirmado, a Socket observa que GemStuffer exibe um padrão de abuso semelhante, envolvendo o uso de pacotes recém-criados com nomes genéricos para hospedar dados raspados. ### Detalhes Técnicos O ataque funciona raspando conteúdo de URLs codificadas de portais de conselhos do Reino Unido. As respostas HTTP são então empacotadas em arquivos .gem válidos e carregadas no **RubyGems** usando credenciais de registro embutidas. Em alguns casos, a gem maliciosa cria um ambiente de credenciais **RubyGems** temporário, substitui a variável de ambiente HOME, constrói uma gem localmente e a envia para o **RubyGems** usando a interface de linha de comando (CLI) `gem`. Outras variantes contornam a CLI, optando em vez disso por carregar o arquivo diretamente na API do **RubyGems** via uma requisição HTTP POST. Uma vez publicado, os atacantes podem acessar os dados raspados executando um comando `gem fetch` com o nome e a versão da gem.  ### Alvo: Portais de Conselhos do Reino Unido A campanha de raspagem visa portais públicos ModernGov usados por conselhos como Lambeth, Wandsworth e Southwark. O objetivo é coletar calendários de reuniões de comitês, listas de itens de agenda, documentos PDF vinculados, informações de contato de oficiais e conteúdo de feeds RSS. O objetivo final permanece incerto, especialmente porque a informação é publicamente acessível.  ### Motivos Potenciais A **Socket** sugere que a coleta sistemática e o arquivamento desses dados podem ser uma demonstração de capacidade contra infraestrutura governamental. Outras possibilidades incluem spam de registro, um worm de prova de conceito, um scraper automatizado que abusa do **RubyGems** como uma camada de armazenamento, ou um teste deliberado de abuso de registro de pacotes. Independentemente disso, a mecânica indica intencionalidade: geração repetida de gems, incrementos de versão, credenciais **RubyGems** codificadas, envios diretos para o registro e dados raspados incorporados dentro de arquivos de pacotes.