Die von Socket aufgedeckte GemStuffer-Kampagne offenbart eine bislang wenig beachtete Angriffsvariante in der Open-Source-Supply-Chain. Während bekannte Kampagnen wie Shai-Hulud auf sich selbst verbreitende Würmer setzen oder das NPM-Ökosystem infiltrieren, verfolgt GemStuffer einen subtileren Ansatz: Die Angreifer erstellen hunderte leere oder sparsam heruntergeladene Pakete, die ausschließlich als Datentransportmittel fungieren.
Die bisherigen Erkenntnisse zeigen, dass die Angreifer Skripte einsetzten, um Webseiten von Londoner Bezirksverwaltungen zu scrapen – darunter Sitzungsprotokolle, Terminkalender und öffentliche Agendas. Diese gescrapten Daten werden anschließend in .gem-Archiven verpackt und über RubyGems-API-Schlüssel zurück in die Registry gepusht. Ein klassischer “Dead Drop”: Der Angreifer lädt das Paket später erneut herunter und extrahiert die Informationen. Dieses Vorgehen benötigt keine zentralen Kontrollserver und ist schwerer zu erkennen als traditionelle Malware.
Besonders rätselhaft ist die ungeklärte Motivation. Socket vermutet mehrere Szenarien: Ein Testlauf gegen Behördenserver, ein Proof-of-Concept für ein Wurm-Konzept, oder schlicht ein Demonstrationsprojekt, um die technische Machbarkeit zu beweisen. Der CEO von Socket, Feross Aboukhadijeh, charakterisiert die Technik als “clever, aber laut” – was eher auf Tests oder Automatisierung hindeutet als auf eine professionelle, stealth-orientierte Operation.
Für deutsche Organisationen ist die Implikation klar: Die zunehmende Sophistikation bei der Ausnutzung von Package-Registries zwingt zu einer Neubewertung von Supply-Chain-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte diese Entwicklung im Kontext seiner Supply-Chain-Empfehlungen berücksichtigen. Unternehmen, die Ruby-Pakete nutzen, sollten ihre CI/CD-Pipelines überprüfen und Outbound-Pushes kontrollieren. Kritisch ist auch die Überwachung von Publishing-Aktivitäten: Welche Entwickler-Systeme und Service-Accounts haben Schreibzugriff auf öffentliche Registries?
Die größte Gefahr liegt in der Normalisierung solcher Techniken. Während GemStuffer selbst bislang kaum Schaden anrichtete, demonstriert die Kampagne, dass etablierte Entwickler-Infrastrukturen nicht automatisch vertrauenswürdig sind. Socket empfiehlt, Audits auf betroffenen Maschinen durchzuführen, Publishing-Workflows zu isolieren und strikt zu kontrollieren, welche Systeme Pakete veröffentlichen dürfen.