GemStuffer abusa RubyGems con 155 pacchetti malevoli per esfiltrare dati UK

GemStuffer ha trasformato RubyGems in un canale di esfiltrazione dati pubblicando oltre 155 pacchetti malevoli contenenti informazioni scrape da portali di consigli locali britannici come Lambeth, Wandsworth e Southwark. L’attacco ha spinto RubyGems a sospendere temporaneamente le nuove registrazioni di account mentre il team di manutenzione lavora per contenere spam, upload malevoli e abuso delle API. L’operazione, documentata da Socket, rappresenta una nuova evoluzione delle minacce supply chain open source: il registry non viene usato per distribuire malware tradizionale ma come infrastruttura trusted per pubblicare ed estrarre dati tramite archivi .gem apparentemente legittimi. Gli attaccanti sfruttano credenziali API hardcoded, packaging temporaneo e upload automatizzati per nascondere l’attività malevola dentro il normale flusso di pubblicazione dei pacchetti Ruby. In questo scenario gli attacchi contro package manager e repository open source stanno diventando una delle principali minacce supply chain del 2026 perché sfruttano la fiducia automatica nei registry utilizzati dagli sviluppatori.

GemStuffer trasforma RubyGems in un canale di esfiltrazione dati

La campagna GemStuffer ha pubblicato più di 155 artefatti tra nuove gemme e versioni aggiuntive direttamente su rubygems.org. I pacchetti utilizzano nomi casuali oppure riferimenti a consigli locali britannici come lambeth71b e agenda-sample-result. Nessun pacchetto legittimo esistente risulta compromesso o hijackato. Tutte le gemme coinvolte provengono da account appena registrati e creati appositamente per l’operazione. Questo elemento distingue la campagna da molte precedenti operazioni supply chain basate sul takeover di maintainer o dependency confusion. Gli attaccanti sfruttano invece il registry stesso come strumento di archiviazione e trasporto dati. Gli archivi .gem vengono pubblicati tramite normali API di RubyGems e possono essere scaricati usando comandi standard come gem fetch, trasformando il registry in una sorta di C2 indiretto basato su infrastruttura legittima. L’attività malevola si nasconde così tra migliaia di upload leciti rendendo difficile identificare rapidamente i pacchetti sospetti.

Gli attaccanti fanno scrape portali UK e impacchettano i dati nei file .gem

Le gemme malevole contengono script Ruby progettati per recuperare contenuti pubblici dai portali ModernGov utilizzati da diversi consigli locali britannici. I target comprendono calendari di riunioni, feed RSS, agende politiche, elenchi di comitati e contatti amministrativi. Il codice utilizza Net::HTTP con User-Agent spoofati per simulare traffico browser legittimo ed evitare rilevamenti banali. I dati raccolti vengono salvati in file come lib/result.txt o direttamente nei README interni ai pacchetti .gem. Gli script creano directory temporanee sotto /tmp, generano gemspec minimali e costruiscono automaticamente gli archivi tramite gem build oppure Gem::Package.build. Alcune varianti evitano completamente la CLI ufficiale e inviano direttamente i file binari all’endpoint API di RubyGems tramite richieste HTTP POST. Le credenziali API risultano hardcoded e vengono iniettate manipolando la variabile ambiente HOME verso directory temporanee come /tmp/gemhome. L’intera operazione è progettata per essere effimera e lasciare pochissime tracce persistenti sul sistema host.

GemStuffer usa credential injection e packaging temporaneo avanzato

L’analisi tecnica mostra che gli operatori di GemStuffer possiedono una conoscenza approfondita del funzionamento interno di RubyGems e del processo di pubblicazione dei pacchetti. Gli script sovrascrivono l’ambiente HOME per isolare credenziali e configurazioni, impostando permessi chmod 0600 sui file credentials per imitare il comportamento standard degli strumenti Ruby. Alcune varianti utilizzano Dir.mktmpdir per creare ambienti temporanei completamente isolati e autodistruggibili. Il codice supporta sia il build tradizionale tramite CLI sia l’upload diretto verso /api/v1/gems senza passare dai workflow abituali degli sviluppatori. I payload non includono persistence, RAT o backdoor tradizionali. Le gemme si limitano a raccogliere dati pubblici e informazioni di contesto come timestamp, directory di lavoro e percorso di esecuzione. Questo approccio rende più difficile classificare automaticamente l’attività come malware convenzionale perché i pacchetti sfruttano esclusivamente funzionalità legittime dell’ecosistema Ruby.

RubyGems sospende le registrazioni per fermare spam e upload malevoli

In risposta alla campagna, RubyGems ha sospeso temporaneamente le nuove registrazioni di account. La pagina di signup mostra un messaggio ufficiale che conferma la misura emergenziale adottata per limitare l’ondata di spam e pubblicazioni malevole. Maciej Mensfeld di Mend.io, coinvolto nella manutenzione dell’ecosistema, ha dichiarato pubblicamente che centinaia di pacchetti sospetti sono stati identificati e che il team lavora da ore per contenere l’abuso. La sospensione punta soprattutto a interrompere la creazione automatica di nuovi account usati dagli operatori della campagna. RubyGems sta analizzando pattern di upload, token API e comportamenti anomali per individuare ulteriori indicatori di compromissione. La piattaforma ha già mitigato parte delle attività di spam, DDoS e upload automatizzati ma continua a investigare su eventuali credenziali compromesse o automazioni distribuite. L’incidente si aggiunge a una lunga serie di attacchi recenti contro ecosistemi open source come npm, PyPI e Maven che stanno trasformando i package manager in bersagli centrali della sicurezza software moderna.

Socket evidenzia un nuovo rischio sistemico per la supply chain open source

L’analisi pubblicata da Socket evidenzia come GemStuffer rappresenti un’evoluzione significativa delle minacce supply chain. Il registry viene usato come trusted data drop anziché come semplice piattaforma di distribuzione malware. Le richieste verso rubygems.org appaiono completamente legittime perché utilizzano le stesse API, formati e workflow adottati dagli sviluppatori reali. I pacchetti malevoli mostrano pochissimi download, nomi casuali e dimensioni ridotte, fattori che riducono il segnale disponibile per i sistemi di detection tradizionali. Socket sottolinea inoltre che la compressione dei dati all’interno degli archivi .gem consente di bypassare diversi controlli DLP basati su keyword inspection o pattern matching. Il rischio sistemico emerge dal fatto che qualsiasi package registry potrebbe essere abusato nello stesso modo senza compromettere direttamente repository o pacchetti esistenti. Non risultano collegamenti certi con gruppi noti come Mini Shai-Hulud o operatori APT cinesi, ma le tecniche mostrano una conoscenza avanzata del protocollo di pubblicazione Ruby e delle dinamiche operative dell’ecosistema open source.

La campagna mostra l’evoluzione delle minacce contro gli ecosistemi open source

GemStuffer conferma che le minacce supply chain stanno evolvendo rapidamente oltre il semplice malware nei pacchetti. Gli attaccanti sfruttano ora registri trusted, workflow di CI/CD e automazioni di pubblicazione come strumenti operativi per raccolta dati, spam e trasporto di payload. Questo tipo di abuso è particolarmente difficile da bloccare perché utilizza infrastrutture progettate per essere aperte e collaborative. La fiducia implicita nei registry open source rappresenta infatti uno dei pilastri dello sviluppo software moderno. Gli sviluppatori Ruby devono quindi aumentare i controlli sui nuovi pacchetti pubblicati, monitorare upload anomali e verificare eventuali script che interagiscono automaticamente con le API di RubyGems. Tool di scanning comportamentale come Socket diventano sempre più importanti per individuare pattern sospetti prima che i pacchetti vengano integrati in pipeline produttive. In parallelo gli attacchi contro pipeline CI/CD e repository software continuano a crescere in complessità e automazione spingendo le community open source verso modelli di verifica più rigidi.

Ruby Central rafforza i controlli mentre cresce la pressione sulla community

L’impatto della campagna colpisce direttamente la fiducia nell’ecosistema Ruby e nelle infrastrutture mantenute da Ruby Central. La sospensione temporanea delle registrazioni crea inevitabili disagi agli sviluppatori legittimi ma viene considerata necessaria per proteggere l’integrità del registry durante le indagini. I maintainer stanno lavorando su controlli più aggressivi per rilevare upload automatizzati, abuse pattern e anomalie nei nuovi account. La community segue attentamente gli sviluppi perché l’incidente dimostra come gli attaccanti possano trasformare sistemi costruiti sulla collaborazione in strumenti di esfiltrazione dati. Anche se i dati pubblicati risultano provenire da fonti pubbliche e non da compromissioni dirette dei consigli britannici, l’abuso del registry rappresenta un precedente pericoloso. La campagna GemStuffer evidenzia che nel 2026 la sicurezza supply chain non riguarda soltanto dipendenze vulnerabili o malware nascosti nei pacchetti, ma anche l’utilizzo creativo delle infrastrutture open source come vettori operativi per raccolta dati, distribuzione e comunicazione malevola.