Um novo conjunto de 60 pacotes maliciosos foi descoberto visando o ecossistema RubyGems, apresentando-se como ferramentas de automação aparentemente inofensivas para serviços de mídia social, blogs ou mensagens para roubar credenciais de usuários desavisados.
A atividade é avaliada como ativa desde pelo menos março de 2023, de acordo com a empresa de segurança da cadeia de suprimentos de software Socket.
Cumulativamente, os gems foram baixados mais de 275.000 vezes.
Dito isto, vale ressaltar que o número pode não representar exatamente o número real de sistemas comprometidos, já que nem todo download resulta em execução, e é possível que vários desses gems tenham sido baixados em uma única máquina.
"Desde pelo menos março de 2023, um ator de ameaças usando os pseudônimos zon, nowon, kwonsoonje e soonje publicou 60 gems maliciosos posando como ferramentas de automação para Instagram, Twitter/X, TikTok, WordPress, Telegram, Kakao e Naver," disse o pesquisador de segurança Kirill Boychenko.
Enquanto os gems identificados oferecem a funcionalidade prometida, como postagem ou engajamento em massa, eles também abrigavam funcionalidade secreta para exfiltrar nomes de usuário e senhas para um servidor externo sob o controle do ator de ameaças, exibindo uma interface gráfica simples para inserir credenciais dos usuários.
Alguns dos gems, como njongto_duo e jongmogtolon, são notáveis por se concentrarem em plataformas de discussão financeira, com as bibliotecas comercializadas como ferramentas para inundar fóruns relacionados a investimentos com menções de tickers, narrativas de ações e engajamento sintético para ampliar a visibilidade e manipular a percepção pública.
Os servidores usados para receber as informações capturadas incluem programzon[.]com, appspace[.]kr e marketingduo[.]co[.]kr.
Esses domínios foram encontrados anunciando mensagens em massa, raspagem de números de telefone e ferramentas automatizadas de mídia social.
As vítimas da campanha provavelmente são profissionais de marketing de chapéu-cinza que dependem dessas ferramentas para executar campanhas de spam, otimização de motores de busca (SEO) e engajamento que aumentam artificialmente o engajamento.
"Cada gem funciona como um infostealer direcionado ao Windows, principalmente (mas não exclusivamente) visando usuários sul-coreanos, como evidenciado por UIs em língua coreana e exfiltração para domínios .kr," disse a Socket.
A campanha evoluiu através de múltiplos pseudônimos e ondas de infraestrutura, sugerindo uma operação madura e persistente.
"Integrando funcionalidade de roubo de credenciais dentro de gems comercializados para usuários de chapéu-cinza focados em automação, o ator de ameaças captura secretamente dados sensíveis enquanto se mistura a atividades que parecem legítimas." O desenvolvimento ocorre enquanto o GitLab detectou múltiplos pacotes de typosquatting no Índice de Pacotes Python (Python Package Index - PyPI) que são projetados para roubar criptomoedas de carteiras Bittensor, sequestrando as funções legítimas de staking.
Os nomes das bibliotecas Python, que imitam bittensor e bittensor-cli, estão abaixo:
bitensor (versões 9.9.4 e 9.9.5)
bittenso-cli
qbittensor
bittenso
"Os atacantes parecem ter visado especificamente operações de staking por razões calculadas," disse a equipe de Pesquisa de Vulnerabilidade do GitLab.
Escondendo código malicioso dentro de funcionalidade de staking que parece legítima, os atacantes exploraram tanto os requisitos técnicos quanto a psicologia do usuário de operações rotineiras de blockchain.
A divulgação também segue as novas restrições impostas pelos mantenedores do PyPI para proteger instaladores e inspetores de pacotes Python de ataques de confusão decorrentes de implementações do parser ZIP.
Dito de outra forma, o PyPI disse que rejeitará pacotes Python "wheels" (que não são nada mais do que arquivos ZIP) que tentem explorar ataques de confusão ZIP e contrabandear payloads maliciosos passando por revisões manuais e ferramentas de detecção automatizadas.
"Isso foi feito em resposta à descoberta de que o instalador popular uv tem um comportamento de extração diferente de muitos instaladores baseados em Python que usam a implementação do parser ZIP fornecida pelo módulo da biblioteca padrão zipfile," disse Seth Michael Larson, da Python Software Foundation (PSF).
O PyPI creditou Caleb Brown da equipe de segurança de código aberto do Google e Tim Hatch da Netflix por reportar o problema.
Ele também disse que alertará os usuários quando publicarem wheels cujo conteúdo ZIP não corresponda ao arquivo de metadados RECORD incluído.
"Após 6 meses de avisos, em 1º de fevereiro de 2026, o PyPI começará a rejeitar novos wheels cujo conteúdo ZIP não corresponda ao arquivo de metadados RECORD incluído," disse Larsen.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...