- 19,980
- 44
- 8 Ноя 2022
Преступники создали цифровой театр иллюзий, где каждый клик приближал катастрофу.
Исследователи из компании Socket выявили сразу 60 вредоносных пакетов на RubyGems.org, которые выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый функционал для кражи учётных данных.
Все они были ориентированы в первую очередь на разработчиков из Южной Кореи, использующих автоматизацию для <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Instagram</span>, TikTok, X, Telegram, Naver, WordPress и Kakao. Авторы пакетов действовали через несколько учётных записей (zon, nowon, kwonsoonje, soonje), чтобы затруднить блокировку.
Для маскировки вредоносные гемы имели рабочий графический интерфейс и заявленный функционал, однако при вводе логина и пароля данные в открытом виде отправлялись на заранее прописанные C2-сервера — programzon[.]com, appspace[.]kr и marketingduo[.]co[.]kr. Помимо учётных данных, собирались MAC-адрес устройства и название пакета (для отслеживания «эффективности кампании»). Иногда инструмент даже имитировал «успешный» вход, хотя на самом деле соединения с реальным сервисом не происходило.
В списке — типичные примеры подмены и опечаток:
Это не первый случай атак на RubyGems. В июне Socket уже сообщал о поддельных гемах, мимикрирующих под плагин Fastlane, которые перехватывали токены Telegram-ботов.
Чтобы исключить риск внедрения вредоносного кода, разработчикам рекомендуется тщательно проверять код библиотек перед использованием, оценивать репутацию автора, фиксировать зависимости на безопасные версии и тестировать новые пакеты в изолированной среде.
Исследователи из компании Socket выявили сразу 60 вредоносных пакетов на RubyGems.org, которые выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый функционал для кражи учётных данных.
Все они были ориентированы в первую очередь на разработчиков из Южной Кореи, использующих автоматизацию для <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Instagram</span>, TikTok, X, Telegram, Naver, WordPress и Kakao. Авторы пакетов действовали через несколько учётных записей (zon, nowon, kwonsoonje, soonje), чтобы затруднить блокировку.
Для маскировки вредоносные гемы имели рабочий графический интерфейс и заявленный функционал, однако при вводе логина и пароля данные в открытом виде отправлялись на заранее прописанные C2-сервера — programzon[.]com, appspace[.]kr и marketingduo[.]co[.]kr. Помимо учётных данных, собирались MAC-адрес устройства и название пакета (для отслеживания «эффективности кампании»). Иногда инструмент даже имитировал «успешный» вход, хотя на самом деле соединения с реальным сервисом не происходило.
В списке — типичные примеры подмены и опечаток:
- wp_posting_duo, wp_posting_zon — под WordPress;
- tg_send_duo, tg_send_zon — под Telegram-боты;
- backlink_zon, back_duo — SEO/линкбилдинг;
- nblog_duo, nblog_zon, tblog_duopack, tblog_zon — блог-платформы;
- cafe_basics[_duo], cafe_buy[_duo], cafe_bey и др. — под Naver Café.
Это не первый случай атак на RubyGems. В июне Socket уже сообщал о поддельных гемах, мимикрирующих под плагин Fastlane, которые перехватывали токены Telegram-ботов.
Чтобы исключить риск внедрения вредоносного кода, разработчикам рекомендуется тщательно проверять код библиотек перед использованием, оценивать репутацию автора, фиксировать зависимости на безопасные версии и тестировать новые пакеты в изолированной среде.
- Источник новости
- www.securitylab.ru
