Um novo conjunto de 60 pacotes maliciosos foi descoberto visando o ecossistema RubyGems, apresentando-se como ferramentas de automação aparentemente inofensivas para serviços de mídia social, blogs ou mensagens para roubar credenciais de usuários desavisados.
A atividade é avaliada como ativa desde pelo menos março de 2023, de acordo com a empresa de segurança da cadeia de suprimentos de software Socket.
Cumulativamente, os gems foram baixados mais de 275.000 vezes.
Dito isto, vale ressaltar que o número pode não representar exatamente o número real de sistemas comprometidos, já que nem todo download resulta em execução, e é possível que vários desses gems tenham sido baixados em uma única máquina.
"Desde pelo menos março de 2023, um ator de ameaças usando os pseudônimos zon, nowon, kwonsoonje e soonje publicou 60 gems maliciosos posando como ferramentas de automação para Instagram, Twitter/X, TikTok, WordPress, Telegram, Kakao e Naver," disse o pesquisador de segurança Kirill Boychenko.
Enquanto os gems identificados oferecem a funcionalidade prometida, como postagem ou engajamento em massa, eles também abrigavam funcionalidade secreta para exfiltrar nomes de usuário e senhas para um servidor externo sob o controle do ator de ameaças, exibindo uma interface gráfica simples para inserir credenciais dos usuários.
Alguns dos gems, como njongto_duo e jongmogtolon, são notáveis por se concentrarem em plataformas de discussão financeira, com as bibliotecas comercializadas como ferramentas para inundar fóruns relacionados a investimentos com menções de tickers, narrativas de ações e engajamento sintético para ampliar a visibilidade e manipular a percepção pública.
Os servidores usados para receber as informações capturadas incluem programzon[.]com, appspace[.]kr e marketingduo[.]co[.]kr.
Esses domínios foram encontrados anunciando mensagens em massa, raspagem de números de telefone e ferramentas automatizadas de mídia social.
As vítimas da campanha provavelmente são profissionais de marketing de chapéu-cinza que dependem dessas ferramentas para executar campanhas de spam, otimização de motores de busca (SEO) e engajamento que aumentam artificialmente o engajamento.
"Cada gem funciona como um infostealer direcionado ao Windows, principalmente (mas não exclusivamente) visando usuários sul-coreanos, como evidenciado por UIs em língua coreana e exfiltração para domínios .kr," disse a Socket.
A campanha evoluiu através de múltiplos pseudônimos e ondas de infraestrutura, sugerindo uma operação madura e persistente.
"Integrando funcionalidade de roubo de credenciais dentro de gems comercializados para usuários de chapéu-cinza focados em automação, o ator de ameaças captura secretamente dados sensíveis enquanto se mistura a atividades que parecem legítimas." O desenvolvimento ocorre enquanto o GitLab detectou múltiplos pacotes de typosquatting no Índice de Pacotes Python (Python Package Index - PyPI) que são projetados para roubar criptomoedas de carteiras Bittensor, sequestrando as funções legítimas de staking.
Os nomes das bibliotecas Python, que imitam bittensor e bittensor-cli, estão abaixo:
bitensor (versões 9.9.4 e 9.9.5)
bittenso-cli
qbittensor
bittenso
"Os atacantes parecem ter visado especificamente operações de staking por razões calculadas," disse a equipe de Pesquisa de Vulnerabilidade do GitLab.
Escondendo código malicioso dentro de funcionalidade de staking que parece legítima, os atacantes exploraram tanto os requisitos técnicos quanto a psicologia do usuário de operações rotineiras de blockchain.
A divulgação também segue as novas restrições impostas pelos mantenedores do PyPI para proteger instaladores e inspetores de pacotes Python de ataques de confusão decorrentes de implementações do parser ZIP.
Dito de outra forma, o PyPI disse que rejeitará pacotes Python "wheels" (que não são nada mais do que arquivos ZIP) que tentem explorar ataques de confusão ZIP e contrabandear payloads maliciosos passando por revisões manuais e ferramentas de detecção automatizadas.
"Isso foi feito em resposta à descoberta de que o instalador popular uv tem um comportamento de extração diferente de muitos instaladores baseados em Python que usam a implementação do parser ZIP fornecida pelo módulo da biblioteca padrão zipfile," disse Seth Michael Larson, da Python Software Foundation (PSF).
O PyPI creditou Caleb Brown da equipe de segurança de código aberto do Google e Tim Hatch da Netflix por reportar o problema.
Ele também disse que alertará os usuários quando publicarem wheels cujo conteúdo ZIP não corresponda ao arquivo de metadados RECORD incluído.
"Após 6 meses de avisos, em 1º de fevereiro de 2026, o PyPI começará a rejeitar novos wheels cujo conteúdo ZIP não corresponda ao arquivo de metadados RECORD incluído," disse Larsen.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...