Die von dem Sicherheitsunternehmen Socket identifizierte GemStuffer-Kampagne verfolgt ein ungewöhnliches Ziel: Statt Malware zu verbreiten, funktioniert das RubyGems-Repository als Datenspeicher für gescrapedte Inhalte. Die über 150 manipulierten Gems tragen zufällige Namen und zeigen typischerweise wenig Download-Aktivität – was darauf hindeutet, dass die Angreifer nicht auf eine breite Infizierung von Entwicklern abzielten.
Die technische Funktionsweise ist ausgefeilter als erwartet: Die Malware-Scripts greifen auf fest codierte URLs britischer Behördenportale zu – speziell ModernGov-Systeme der Councils in Lambeth, Wandsworth und Southwark. Die abgerufenen Daten werden dann in valide .gem-Archive verpackt und mithilfe hardcodierter API-Schlüssel zurück ins RubyGems-Repository hochgeladen. Besonders bemerkenswert: Einige Varianten erzeugen temporäre RubyGems-Anmeldedaten unter /tmp und überschreiben Umgebungsvariablen, während andere das direkter über HTTP-POST-Requests zur RubyGems-API durchführen.
Die gesammelten Informationen umfassen Sitzungskalender, Tagesordnungspunkte, PDF-Dokumente, Kontaktinformationen von Behördenmitarbeitern und RSS-Feed-Inhalte. Das Paradoxe: Diese Daten sind ohnehin öffentlich verfügbar. Dennoch deuten Socket-Analysten darauf hin, dass die systematische Bulk-Erfassung und Archivierung als Test gegen staatliche Infrastruktur dienen könnte – möglicherweise um Fähigkeiten gegen Regierungssysteme zu demonstrieren.
RubyGems hatte unmittelbar vor dieser Entdeckung die Registrierung neuer Accounts temporarily gestoppt. Ob beide Vorfälle zusammenhängen, ist unklar. Socket schlussfolgert, dass GemStuffer dieselbe Missbrauchsmuster befolgt.
Für die deutsche IT-Landschaft ist dies ein Weckruf: Open-Source-Repositorys sind – wie der npm-Skandal 2022 oder zahlreiche PyPI-Incidents gezeigt haben – attraktive Ziele für Supply-Chain-Angriffe. Das BSI empfiehlt deutsche Entwicklern und Unternehmen, ihre Abhängigkeiten regelmäßig zu prüfen und nur vertrauenswürdige Quellen zu nutzen.