GemStuffer: Über 150 RubyGems-Pakete dienen als Datenspeicher für gescrapte Daten britischer Kommunalportale

Zusammenfassung

Sicherheitsforscher von Socket warnen vor einer neuen Kampagne mit dem Namen GemStuffer, die das Paketverzeichnis RubyGems mit mehr als 150 Paketen ins Visier genommen hat. Anders als bei klassischen Angriffen über manipulierte Pakete geht es dabei nicht um die Verbreitung von Schadsoftware unter Entwicklern, sondern um die Nutzung der Registry als Kanal zur Datenexfiltration. Die Pakete rufen Seiten von Bürgerportalen britischer Kommunalverwaltungen ab, verpacken die gesammelten Antworten in gültige .gem-Archive und veröffentlichen diese mithilfe fest eingebetteter API-Schlüssel zurück auf RubyGems. Laut Socket sind die Pakete nicht auf eine breite Kompromittierung von Entwicklern ausgelegt: Viele weisen kaum oder gar keine Downloads auf, und die Payloads seien repetitiv, auffällig und ungewöhnlich in sich geschlossen. Betroffen sind die öffentlich erreichbaren ModernGov-Portale der Londoner Bezirke Lambeth, Wandsworth und Southwark. Welches Ziel die Angreifer verfolgen, ist unklar, zumal die gesammelten Informationen ohnehin öffentlich zugänglich erscheinen.

Im Kern nutzt GemStuffer RubyGems als Ablageort für die gescrapten Inhalte. Die Pakete rufen fest hinterlegte URLs britischer Kommunalportale ab, verpacken die HTTP-Antworten in gültige .gem-Archive und veröffentlichen diese anschließend über eingebettete Zugangsdaten auf RubyGems.

Socket hat dabei zwei Varianten beobachtet. In einigen Fällen legt die im Paket enthaltene Payload unter „/tmp" eine temporäre Anmeldeumgebung für RubyGems an, überschreibt die HOME-Umgebungsvariable, baut ein Gem lokal und lädt es über die Kommandozeile (CLI) hoch — anstatt auf bereits vorhandene RubyGems-Zugangsdaten auf dem Zielsystem zurückzugreifen. Andere Varianten verzichten auf die CLI und laden das Archiv direkt per HTTP-POST-Anfrage an die RubyGems-API hoch. Sind die Pakete einmal veröffentlicht, genügt ein „gem fetch" mit Name und Version, um an die gesammelten Daten zu gelangen.

Die Kampagne zielt auf die öffentlich erreichbaren ModernGov-Portale der Londoner Bezirke Lambeth, Wandsworth und Southwark. Abgegriffen werden Sitzungskalender von Ausschüssen, Tagesordnungspunkte, verlinkte PDF-Dokumente, Kontaktdaten von Amtsträgern sowie Inhalte von RSS-Feeds.

Welchen Zweck die Sammlung letztlich verfolgt, bleibt offen, da die Informationen ohnehin öffentlich abrufbar sind. Socket hält es jedoch für möglich, dass der Angreifer den Zugriff auf die Kommunalportale als Sprungbrett nutzt, um seine Fähigkeiten gegen staatliche Infrastruktur unter Beweis zu stellen. Denkbar sei Spam in der Registry, ein Wurm als Machbarkeitsnachweis, ein automatisierter Scraper, der RubyGems zweckentfremdet als Speicherebene nutzt, oder ein bewusster Test des Registry-Missbrauchs. Die Mechanik sei jedenfalls absichtlich angelegt: wiederholte Gem-Erzeugung, hochgezählte Versionsnummern, fest hinterlegte RubyGems-Zugangsdaten, direkte Pushes in die Registry und gescrapte Daten innerhalb der Paketarchive.

Der Vorfall fällt mit einem weiteren Ereignis zusammen: RubyGems hat die Registrierung neuer Konten vorübergehend ausgesetzt, nachdem es nach eigener Darstellung zu einem schwerwiegenden Angriff gekommen war. Ob beide Vorgänge zusammenhängen, ist unklar. Socket betont jedoch, dass GemStuffer demselben Missbrauchsmuster folge — der Nutzung neu angelegter Pakete mit zufällig wirkenden Namen, um darin die gesammelten Daten unterzubringen.

GemStuffer: Über 150 RubyGems-Pakete dienen als Datenspeicher für gescrapte Daten britischer Kommunalportale

Ähnliche Artikel

Neueste Artikel