60 gems Ruby maliciosos baixados 275.000 vezes roubam credenciais – Against Invaders – Notícias de CyberSecurity para humanos.

60 gems Ruby maliciosos baixados 275.000 vezes roubam credenciais - Against Invaders - Notícias de CyberSecurity para humanos.

Sessenta gems Ruby maliciosas contendo código de roubo de credenciais foram baixadas mais de 275.000 vezes desde março de 2023, visando contas de desenvolvedores.

As gemas Ruby maliciosas foram descobertas pela Socket, que relata que visavam principalmente usuários sul-coreanos de ferramentas de automação para Instagram, TikTok, Twitter/X, Telegram, Naver, WordPress e Kakao.

RubyGems é o gerenciador de pacotes oficial para a linguagem de programação Ruby, permitindo a distribuição, instalação e gerenciamento de bibliotecas Ruby, conhecidas como gems, muito parecidas com npm para JavaScript ou PyPI para Python.

As joias maliciosas desta campanha foram publicadas em RubyGems.org sob vários pseudônimos ao longo dos anos. Os editores ofensivos são zon, nowon, kwonsoonje e soonje, espalhando a atividade por várias contas para dificultar o rastreamento e o bloqueio.

A lista completa dos pacotes maliciosos pode ser encontrada em Relatório do soquete, mas abaixo estão alguns casos notáveis de pacotes com nomes enganosos ou typosquatted:

  • Automatizadores no estilo WordPress: wp_posting_duo, wp_posting_zon
  • Bots no estilo Telegram: tg_send_duo, tg_send_zon
  • Ferramentas de SEO/backlink: backlink_zon, back_duo
  • A plataforma de blog imita: nblog_duo, nblog_zon, tblog_duopack, tblog_zon
  • Ferramentas de interação do Naver Café: cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment

Todas as 60 gemas destacadas no relatório Socket apresentam uma interface gráfica do usuário (GUI) que parece legítima, bem como a funcionalidade anunciada.

Na prática, no entanto, eles atuam como ferramentas de phishing que exfiltram as credenciais que os usuários inserem no formulário de login para os invasores em um endereço de comando e controle (C2) codificado (programzon[.]com, appspace[.]KR, MarketingDuo[.]co[.]kr).

Snippet de código malicioso presente nas 60 gemas
Logs do infostealer vinculados à campanhahá vários anos.

Em junho, a Socket relatou outro caso de gemas Ruby maliciosas que digitaram o Fastlane, um plug-in legítimo de código aberto que serve como uma ferramenta de automação para desenvolvedores de aplicativos móveis, visando especificamente os desenvolvedores de bots do Telegram.

Os desenvolvedores devem examinar as bibliotecas que obtêm de repositórios de código aberto em busca de sinais de código suspeito, como partes ofuscadas, considerar a reputação e o histórico de lançamentos do editor e bloquear dependências para versões “conhecidas por serem seguras”.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.