По мере того, как разработчики все чаще используют готовые программные компоненты в своих приложениях и службах, субъекты угроз злоупотребляют репозиториями с открытым исходным кодом, такими как RubyGems, для распространения вредоносных пакетов, предназначенных для компрометации своих компьютеров или программных продуктов, над которыми они работают.
В последнем исследовании, опубликованном The Hacker News, эксперты по кибербезопасности в ReversingLabs обнаружили более 700 вредоносных гемов — пакетов, написанных на языке программирования Ruby, — которые недавно были обнаружены злоумышленниками в цепочке поставок, которые распространялись через репозиторий RubyGems.
В вредоносной кампании использовалась техника опечатывания где злоумышленники преднамеренно загрузили легитимные пакеты с ошибками в надежде, что невольные разработчики неправильно наберут имя и непреднамеренно установят вредоносную библиотеку
ReversingLabs сообщает, что рассмотренные опечатанные пакеты были загружены в RubyGems в период с 16 по 25 февраля, и что большинство из них было разработано для тайной кражи средств путем перенаправления транзакций криптовалюты на адрес кошелька, находящийся под контролем злоумышленника.
Другими словами, эта атака цепочки поставок была направлена на разработчиков Ruby с системами Windows, которые также использовали компьютеры для осуществления транзакций в биткойнах.
После того, как была обнаружена эта проблема, вредоносные библиотеки и связанные с ними учетные записи были удалены почти два дня спустя, 27 февраля.