RubyGems stoppt Neuregistrierungen nach Flut bösartiger Pakete

Zusammenfassung

Der offizielle Hosting-Dienst für Ruby-Gems, RubyGems.org, hat die Registrierung neuer Konten vorübergehend ausgesetzt. Auslöser war ein Angriff, bei dem Bedrohungsakteure binnen kurzer Zeit hunderte bösartiger Pakete in die Registry hochluden. Die Verantwortlichen von RubyGems gaben am 12. Mai bekannt, dass Neuanmeldungen wegen eines „DDoS-Angriffs“ deaktiviert wurden. Nach Angaben der Betreiber handelte es sich um „Spam-Aktivität“: Bot-Konten schoben mehr als 500 nutzlose Pakete in die Plattform, darunter auch solche, die Exploits enthielten. Bemerkenswert an dem Vorfall ist, dass nicht die Nutzer der Plattform das eigentliche Ziel gewesen zu sein scheinen, sondern RubyGems selbst. Die schädlichen Pakete wurden inzwischen aus der Registry entfernt, bestehende Pakete waren nach Darstellung der Betreiber nicht kompromittiert. Auch die Installation und Veröffentlichung von Gems durch bestehende Nutzer blieb den Angaben zufolge unbeeinträchtigt. Die Untersuchung des Vorfalls dauert an, doch zum jetzigen Zeitpunkt deutet nichts darauf hin, dass Endnutzer betroffen waren. Die Neuanmeldungen sollten zunächst geschlossen bleiben, bis striktere Begrenzungen für die Kontoerstellung und ein Schutz durch eine Web Application Firewall greifen.

Knapp 24 Stunden nach der Ankündigung waren Neuregistrierungen weiterhin deaktiviert. Nach Einschätzung der RubyGems-Verantwortlichen dürften sie noch zwei bis drei Tage gesperrt bleiben, bis die Ratenbegrenzung für die Kontoerstellung verschärft und ein Schutz durch eine Web Application Firewall (WAF) aktiviert ist.

Im Kern des Vorfalls stand das massenhafte Hochladen von Schrottpaketen durch automatisierte Konten. Mehr als 500 solcher Pakete wurden während des Angriffs eingestellt, einige davon mit Exploits versehen. Die Betreiber betonten auf ihrer Statusseite, dass „Gem-Installationen und -Veröffentlichungen für bestehende Nutzer unbeeinträchtigt“ blieben.

Anders als bei vielen Vorfällen in der Software-Lieferkette zielte der Angriff offenbar nicht auf die Anwender der Plattform. Maciej Mensfeld vom Sicherheitsteam von RubyGems erklärte auf X, die Attacke habe sich gegen RubyGems selbst gerichtet: Die Angreifer hätten XSS-Angriffe und das Abgreifen von Daten versucht.

Mensfeld äußerte zugleich einen Verdacht, den er ausdrücklich nicht belegen konnte: „Meine Sorge bei diesem RubyGems-Angriff ist, dass er etwas Raffinierteres verdecken könnte. Kein Beweis, nur die Intuition eines Sicherheitsforschers. Ich hoffe, ich irre mich.“

Die Untersuchung des Vorfalls ist noch nicht abgeschlossen. Nach bisherigem Stand wurden die bösartigen Pakete aus der Registry entfernt, und Hinweise auf eine Kompromittierung bestehender Pakete oder eine gezielte Beeinträchtigung von Endnutzern liegen nicht vor.

RubyGems stoppt Neuregistrierungen nach Flut bösartiger Pakete

Ähnliche Artikel

Neueste Artikel