RubyGemsは、Rubyエコシステムへの広範な攻撃を受けて、新規アカウント登録を一時的に停止しました。調査者によると、悪意のある行為者は数百の有害なパッケージを配布しました。その中には特定の企業を侵害するように調整されたものもあれば、より広範な悪用のための多目的な手段として機能するものもありました。
この侵害は、Mend.ioの供給チェーンセキュリティシニアプロダクトマネージャーであるMaciej Mensfeldによって公開説明されました。彼は、数百の侵害されたコンポーネントを含む侵入の規模が、新規アカウント作成の即座の停止を必要としたことに注記しました。登録ポータルは現在、新規申請が現在拒否されていることを明示的に述べています。
RubyGemsの強化に協力しているMend.ioは、封じ込め努力の期間中、詳細な技術仕様を控えており、脅威が局所化されたら包括的な情報開示を約束しています。現在の報告時点では、加害者の身元は不明なままです。
この事件は、オープンソースリポジトリを対象とした攻撃の増加傾向を反映しています。悪意のある行為者は、開発者インフラに浸透するための導管として、一般的なパッケージマネージャーをますます活用しています。単一の侵害された依存関係は、多数の企業のプロジェクトに浸透し、その後、アクセストークン、暗号化キー、およびその他の機密テレメトリーを流出させるゲートウェイを提供する可能性があります。
最近、Googleは、このような手口を通じて盗まれた認証情報が、恐喝、データ盗難、およびマルウェアの配布を専門とするシンジケートとの関係を通じて金銭化されていることを観察しました。彼らのレポートは、TeamPCPを含む脅威行為者が、情報窃取ソフトウェアを配布するために広く利用されているパッケージを侵害した事例を特に強調しています。
RubyGemsの状況に関しては、主な軽減戦略は新規登録のモラトリアムでした。このような決定的な行動は、セキュリティチームが感染の範囲を監査し、リポジトリをパージする間に、悪意のある行為者が迅速に短寿命のアカウントを生成し、さらに悪意のあるコードを配布する能力を制限します。
