RubyGems ist der zentrale Paketmanager für die Programmiersprache Ruby und damit eine kritische Komponente in der Software-Lieferkette zahlreicher Projekte. Nach einem Angriff hat der Dienst die Möglichkeit, neue Konten anzulegen, vorübergehend gesperrt. Wer die Anmeldeseite aufruft, liest dort, dass die Registrierung neuer Konten vorübergehend deaktiviert worden sei.
Öffentlich gemacht wurde der Vorfall von Maciej Mensfeld, Senior Product Manager für Software-Lieferkettensicherheit bei Mend.io. In einem Beitrag auf X schrieb er, man habe es aktuell mit einem „großen schädlichen Angriff" auf RubyGems zu tun und habe die Anmeldungen vorerst angehalten. Den Angaben zufolge sind hunderte Pakete in den Vorfall verwickelt, die sich größtenteils gegen den Dienst selbst richteten; einzelne Pakete hätten jedoch Exploits transportiert.
Mend.io, das für die Sicherheit von RubyGems zuständig ist, will weitere Details nennen, sobald der Vorfall eingedämmt ist. Wer für den Angriff verantwortlich ist, war zunächst unklar.
Der Vorfall reiht sich in eine wachsende Zahl von Angriffen auf die Software-Lieferketten quelloffener Ökosysteme ein. Akteure wie TeamPCP kompromittieren dabei weit verbreitete Pakete, um Schadsoftware zu verteilen, die Zugangsdaten ausliest, sensible Daten abgreift und es den Angreifern ermöglicht, ihre Reichweite auszuweiten.
In einem am Montag veröffentlichten Bericht erklärte Google, die aus betroffenen Umgebungen erbeuteten Zugangsdaten würden über Kooperationen mit Ransomware- und Erpressergruppen, die auf Datendiebstahl setzen, zu Geld gemacht.