60个恶意RubyGems包窃取垃圾邮件发送者数据

韩国威胁行为者发布60个恶意RubyGems包,伪装成营销工具实则窃取凭证,已累计下载27.5万次。这些包针对灰帽营销人员,通过本地化诱饵和特定平台集成实施攻击。

60个RubyGems包从垃圾邮件发送者窃取数据

一位网络犯罪反英雄一直在窃取并转售不良网络角色的凭证。他们的动机值得怀疑,但幸灾乐祸的感觉令人难以抗拒。

两年来,一名韩国威胁行为者一直在发布恶意的开源软件(OSS)包,旨在从垃圾邮件营销人员那里窃取凭证。

你是否厌倦了那些 shady、一次性的在线账户兜售廉价点击诱饵、人工智能(AI)饵料、重新发布的受版权保护的内容以及彻头彻尾的骗局,并通过操纵算法和购买虚假互动来积极推广他们的低质量内容?好吧,这里有人来帮忙了。(或者伤害,取决于你怎么看。)

这位网络犯罪反英雄使用各种韩语名称:“soonje”、“kwonsoonje”、“zon”和“nowon”。自2023年3月以来,soonje 已向 RubyGems(Ruby 编程语言的 OSS 包管理器)发布了60个恶意包。这些包——用行话来说就是“gems”——包含了所谓的韩国“灰帽”营销人员的自动化工具,但正如 Socket 的研究人员发现的那样,它们还携带 Windows 信息窃取程序。

总计,这些 gems 已被下载超过27.5万次。截至发布时,仍有16个存活,只是因为其他44个被威胁行为者自己下架了。

60个恶意RubyGems包

这些 gems 的设计和营销目的是帮助灰帽营销人员生成大量内容,并为其制造互动,主要是在包括 Instagram、X、TikTok、WordPress 和 Telegram 在内的社交媒体网站上。

正如 Socket 高级威胁情报分析师 Kirill Boychenko 解释的那样,“在韩国和亚太地区(APAC),恶意包通常具有本地化的诱饵。在这种情况下,[它们具有]韩语图形用户界面(GUIs)、提示和文档,并与特定区域的平台集成,”包括 Kakao(即时消息)、Tistory(博客)和 Naver(带有博客和论坛的搜索引擎)。

这些 gems 提供了它们声明的功能,但也从用户那里窃取用户名、密码和 MAC 地址。当然,这非常常见。在 Sonatype 在2025年第二季度跟踪的所有 OSS 恶意软件中,超过一半是为了从受害者那里窃取数据而构建的。但黑客将凭证窃取程序放入包中的最主要原因是感染开发人员,进而感染他们的雇主、他们构建的程序以及这些程序的客户。

在这种情况下,攻击者的动机可能更复杂。这些凭证可能对任何人有用的原因可能是因为相关账户已经完成了构建准受众的工作,soonje 或同伙可能会利用这些受众来传播他们自己的营销垃圾邮件或某种虚假信息。或者它们可能有更有创意的用途。例如,其中两个 gems 是股票讨论论坛的机器人,可用于操纵对话和围绕不良行为者有个人利益的金融资产的信念。

隐身技术:以坏人为目标

在总共60个 gems 中,有16个仍然活跃。Soonje 已经取消了其他44个的发布,尽管它们仍然可以被已经安装它们的人访问,并且在缓存镜像中。正如 Boychenko 指出的,这可能表明一种分发恶意软件同时隐藏其可见足迹的努力。

令人惊讶的是,它们的恶意软件似乎都没有遇到任何阻力,尤其是考虑到“与 npm 和 Python 包索引(PyPI)不同,RubyGems 更小、更明确的依赖树意味着攻击者通常依赖直接安装,而不是隐藏在深层的传递链中,减少了‘意外’感染,”Boychenko 解释道。另一方面,他补充说,RubyGems 相对不如 npm 和 PyPI 受欢迎,后者受益于有许多眼睛来监管可疑的上传。

最重要的是,黑客似乎从他们选择攻击的对象类型中 inherently 受益。对于垃圾邮件营销人员来说,一个在线账户是沧海一粟(大多数人一次管理多个),容易更换(因为虚假互动总是可以再次购买),并且非个人化(与他们的个人身份或任何重要资产无关)。因此,某些网络犯罪分子的灰帽账户滥用可能只是一个小麻烦,如果有的话。它可能完全不被注意。甚至可能受到欢迎,有一个额外的帮手来获取点击。

即使受害者确实希望报告被黑客攻击,他们可能会犹豫,因为“做这种事情有社会污名,”Sonatype 的首席安全研究员 Garrett Calpouzos 说。

诚实的开发人员 readily 报告使他们的生活变得困难的恶意包,他指出:“他们从屋顶大喊,最终很快在社交媒体和新闻上到处发布。而在这种情况下,灰帽营销人员可能不太可能登上所有社交媒体平台说,‘嘿,我试图利用搜索引擎优化(SEO)并垃圾邮件一堆社交媒体账户,结果被黑客攻击了。’[为了帮助]其他也在垃圾邮件社交媒体账户的家伙。”

选择坏人作为目标似乎是一种有效的隐身策略,对于那些尝试过的人来说。Calpouzos 回忆起以前见过这种情况,例如当大量上传冲击 NuGet .NET 包管理器时,声称是视频游戏 Roblox 的作弊工具。

Boychenko 也是如此。“我们发现过黑客工具秘密危害其自身操作者的案例,例如连接回作者基础设施的反向 shell 实用程序、冒充 FBI 或 CIA 域以牵连用户的分布式拒绝服务(DDoS)工具,以及在安装持久后门时拦截流量的代理实用程序,”他说。“我们还看到 Wi-Fi 暴力破解工具将每个破解的凭证外泄到包的作者,以及来自敌对地区的恶意软件工具,没有人应该自愿运行,比如来自伊朗的黑客工具。”

关于作者

Nate Nelson,特约撰稿人 Nate Nelson 是一位居住在纽约市的作家。他以前在 Threatpost 担任记者,并撰写了“Malicious Life”,一个在 Apple 和 Spotify 上获奖的 Top 20 科技播客。在 Dark Reading 之外,他还共同主持“The Industrial Security Podcast”。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次