Mais de 150 gems foram usadas para empacotar respostas HTTP de portais municipais do Reino Unido e republicá-las no registro como arquivos .gem válidos.
| Componente | Registro RubyGems, arquivos .gem e pacotes Ruby criados para armazenar dados raspados de portais ModernGov de conselhos locais do Reino Unido. |
| Vetor | Scripts com URLs e credenciais de API embutidas coletam páginas públicas, geram gems localmente ou enviam arquivos diretamente para a API do RubyGems. |
| Impacto | Uso indevido de um registro de pacotes como camada de armazenamento e exfiltração, com risco de poluição do ecossistema, abuso de credenciais e confusão em processos de dependência. |
| Prioridade | Auditar dependências Ruby internas, bloquear instalação de gems desconhecidas, revisar credenciais RubyGems expostas e monitorar publicação ou busca de pacotes com nomes aleatórios. |
| Artefatos | Mais de 150 gems associadas à campanha, uso de /tmp, sobrescrita da variável HOME, execução do gem CLI, requisições HTTP POST para a API do RubyGems e recuperação por gem fetch. |
| Dados coletados | Calendários de reuniões, listas de itens de pauta, documentos PDF vinculados, contatos de funcionários e conteúdo RSS de portais ModernGov usados por Lambeth, Wandsworth e Southwark. |
| Limites | Não há indicação no contexto de comprometimento em massa de desenvolvedores, execução de malware em ambientes de vítima ou exploração de vulnerabilidade específica. |
A campanha conhecida como GemStuffer explora o RubyGems de uma forma incomum para operações de supply chain: em vez de priorizar a execução de código em estáções de desenvolvedores, os pacotes observados funcionam como recipientes para dados coletados de portais públicos. Mais de 150 gems foram associadas ao fluxo. Os pacotes contêm lógica repetitiva, baixa atividade de download e comportamento autocontido, características que reduzem a hipótese de uma tentativa ampla de comprometer projetos Ruby por dependências populares. O padrão técnico observado aponta para abuso do registro como infraestrutura de publicação, armazenamento e recuperação de conteúdo raspado.
O fluxo principal consiste em acessar URLs pré-definidas de portais ModernGov de conselhos locais do Reino Unido, capturar respostas HTTP, encapsular esse material em arquivos .gem válidos e publicar os arquivos no RubyGems. O uso de pacotes legítimos como formato de transporte altera a superfície de monitoramento: dados que normalmente seriam vistos como tráfego de scraping ou armazenamento externo passam a circular dentro de um ecossistema de distribuição de software. Para operadores de segurança, o ponto central não é apenas a existência de gems suspeitas, mas a demonstração de que um registro público pode ser tratado como canal de exfiltração e arquivamento por automações com credenciais de publicação.
A atividade também aparece em um período no qual o RubyGems chegou a desabilitar temporariamente novos cadastros após um ataque malicioso relevante contra o serviço. O vínculo direto entre esse evento e GemStuffer não está confirmado no material analisado, portanto a relação deve ser tratada como uma convergência de padrão de abuso, não como uma atribuição. Ainda assim, os mecanismos são consistentes com uso deliberado de contas e pacotes recém-criados, nomes sem valor semântico claro, incrementos de versão e publicação automatizada de arquivos que carregam dados externos.
Os pacotes analisados implementam duas rotas de publicação. Em uma delas, o payload prepara um ambiente temporário de credenciais sob /tmp, altera a variável HOME para apontar para esse ambiente e usa a ferramenta de linha de comando gem para construir e publicar o arquivo. Essa decisão evita depender de credenciais RubyGems já existentes no host que executa o script, porque o próprio pacote inclui o material necessário para autenticar a operação. O efeito prático é que a execução do código gera um artefato Ruby válido, associa conteúdo coletado a uma nova versão ou a um novo nome de gem e empurra esse artefato para o registro.
A segunda rota elimina parte da dependência do gem CLI. Algumas variantes criam o arquivo e realizam upload direto para a API do RubyGems por meio de uma requisição HTTP POST. Esse modelo é mais simples para automações, pois reduz a necessidade de invocar a cadeia local de empacotamento e pode ser adaptado a ambientes nos quais a ferramenta gem não esteja disponível ou esteja sob maior controle. Nos dois casos, o objetivo operacional é semelhante: transformar respostas de portais web em conteúdo recuperável por qualquer pessoa que saiba o nome e a versão do pacote publicado.
Depois da publicação, o operador pode recuperar os dados usando gem fetch com o nome e a versão correspondentes. Esse detalhe é relevante para detecção porque desloca a etapa de acesso aos dados para um comando comum em fluxos Ruby. Em redes corporativas, tráfego para registros de pacotes tende a ser permitido por padrão em estáções de engenharia e pipelines de CI/CD. Quando esse tráfego não é inspecionado por reputação de pacote, idade da conta, padrão de nomeação, frequência de versões e conteúdo do arquivo .gem, a atividade pode se misturar a operações legítimas de desenvolvimento.
O conteúdo raspado no caso observado inclui calendários de reuniões, listas de pauta, PDFs vinculados, contatos de funcionários e feeds RSS de portais ModernGov relacionados a Lambeth, Wandsworth e Southwark. O material parece estar publicamente acessível nos portais originais, o que reduz a caracterização de vazamento clássico de base privada. Mesmo assim, a coleta sistemática, o empacotamento em gems e a persistência em um registro de software introduzem risco operacional: dados públicos podem ser agregados, versionados, redistribuídos, indexados fora do contexto original e usados para demonstrar capacidade contra infraestrutura governamental.
A superfície primária é o ecossistema RubyGems, incluindo contas de publicação, nomes de pacotes, versões e consumidores que executam comandos de instalação ou busca sem validação suficiente. O comportamento descrito não depende de uma vulnerabilidade conhecida no RubyGems nem de uma versão específica de Ruby. A condição necessária é a capacidade de autenticar no registro com credenciais de API e publicar um pacote. Quando essas credenciais estão embutidas no código, qualquer cópia funcional do script pode reproduzir o fluxo enquanto as chaves permanecerem válidas.
Organizações que utilizam Ruby em desenvolvimento, pipelines de build, análise automatizada de dependências ou mirrors internos devem tratar gems desconhecidas como artefatos executáveis e como possíveis contêineres de dados. Mesmo que GemStuffer não tenha sido descrito como uma campanha de comprometimento em massa de desenvolvedores, o padrão de abuso cria ruído e pode contaminar processos de inventário. Um pacote que parece irrelevante por ter poucos downloads ainda pode carregar conteúdo coletado, acionar uploads para o registro ou servir como prova de automação para operações futuras.
Os portais ModernGov citados entram como origem dos dados, não como sistemas comprovadamente invadidos. A exposição ocorre porque páginas e documentos públicos foram coletados em volume e republicados em outro canal. Para equipes responsáveis por portais governamentais, a distinção importa: a resposta não é correção de uma falha de execução remota, mas análise de scraping, limites de requisição, observabilidade de robôs, proteção de metadados e revisão de quais informações públicas podem ser agregadas de forma sensível.
- Registro RubyGems usado como camada de publicação e recuperação de arquivos
.gemcontendo respostas HTTP coletadas. - Ambientes Ruby que permitem instalação, busca ou análise automática de gems sem reputação, allowlist ou inspeção de conteúdo.
- Contas e credenciais RubyGems com permissão de publicação, especialmente chaves de API copiadas para scripts, repositórios ou ambientes temporários.
- Portais ModernGov de Lambeth, Wandsworth e Southwark como fontes dos calendários, pautas, PDFs, contatos e feeds RSS coletados.
A detecção deve separar três frentes: execução local do payload, comunicação com portais públicos e interação com o RubyGems. Em endpoints e runners de CI/CD, procure criação de diretórios temporários em /tmp associados a configuração de credenciais RubyGems, alterações inesperadas de HOME e invocação do gem para construir ou publicar pacotes fora dos processos normais de release. Em ambientes Windows com Ruby, a lógica equivalente pode aparecer como diretórios temporários e variáveis de ambiente modificadas durante execução de scripts Ruby, ainda que o caminho literal /tmp seja mais característico de sistemas Unix-like.
Na rede, o sinal mais forte é a combinação de acessos repetidos a URLs de portais ModernGov seguida de publicação para endpoints do RubyGems. Uma estáção de desenvolvedor ou runner que coleta páginas governamentais e, em seguida, faz upload para um registro de pacotes, apresenta um encadeamento incomum. Proxies, EDR, logs de shell e telemetria de DNS devem ser correlacionados por janela de tempo, usuário, processo pai e artefato gerado. O comando gem fetch também deve ser observado quando buscar nomes de pacote sem vínculo com dependências aprovadas, especialmente se a versão recuperada não aparece em manifestos internos.
Em repositórios de código, a caça deve focar chaves de API RubyGems embutidas, scripts que montam gemspecs dinamicamente, arquivos que incrementam versões sem release real e listas estáticas de URLs de portais. A ausência de downloads em massa não encerra a análise, porque a campanha descrita não depende de popularidade para atingir seu objetivo. O indicador comportamental é a publicação repetida de pacotes novos ou versões novas contendo dados externos, não a adoção desses pacotes por projetos legítimos.
- Processos
rubyougemcriando ambiente de credenciais em/tmpe sobrescrevendoHOMEantes de publicar pacotes. - Requisições
HTTP POSTpara a API do RubyGems originadas de hosts que também acessaram portais ModernGov em sequência curta. - Comandos
gem fetchpara pacotes desconhecidos, com nomes sem relação com dependências internas e versões recém-publicadas. - Gemspecs, scripts Ruby ou tarefas de CI/CD contendo URLs fixas de conselhos locais, geração automatizada de versões e credenciais de registro.
- Arquivos
.gemque incluem respostas HTML, PDFs, RSS ou dados de agenda em vez de código, bibliotecas ou documentação de pacote.
A resposta defensiva deve começar pela governança de dependências Ruby. Bloqueie instalação direta de gems fora de repositórios internos ou proxies controlados, aplique allowlist para pacotes aprovados e registre o motivo de negócio para novas dependências. Em pipelines, desabilite publicação automática no RubyGems quando o job não fizer parte do processo oficial de release. Chaves de API devem ser restritas por escopo, armazenadas em gerenciadores de segredo e revogadas quando forem encontradas em scripts, arquivos temporários, logs ou histórico de repositório.
Para ambientes que já executaram gems suspeitas, a contenção deve verificar processos, histórico de comandos, caches de pacotes e diretórios temporários. Remova artefatos .gem desconhecidos de caches locais quando não houver dependência legítima, revise logs de proxy para confirmar se houve scraping de portais externos e procure uploads subsequentes ao RubyGems. Caso credenciais RubyGems tenham sido usadas em máquinas compartilhadas ou runners, revogue as chaves, gere novas credenciais com permissões mínimas e confirme se não existem pacotes publicados indevidamente em nomes controlados pela organização.
Do lado de portais públicos, a mitigação passa por observabilidade e controle de abuso, não por tratar todo dado público como incidente de confidencialidade. Registre padrões de scraping por origem, caminho e volume; use limites de taxa compatíveis com transparência pública; monitore coleta sequencial de calendários, PDFs e RSS; e revise páginas que exponham contatos ou metadados operacionais em formato facilmente agregável. Quando dados públicos forem republicados em registros de software, a ação recomendada é preservar evidências, solicitar remoção pelos canais do registro e avaliar se a agregação amplia risco para funcionários, reuniões ou processos administrativos.
A validação final deve confirmar que políticas de egress não tratam registros de pacotes como destino irrestrito. RubyGems é uma dependência legítima para muitos times, mas publicação e download devem ter perfis distintos. Desenvolvedores normalmente precisam instalar pacotes aprovados; poucos sistemas precisam publicar gems novas. Separar esses fluxos por identidade, rede, token e pipeline reduz a chance de um abuso semelhante transformar infraestrutura de desenvolvimento em canal de armazenamento externo.
- Aplicar allowlist ou proxy interno para gems e bloquear instalação de pacotes desconhecidos por padrão.
- Revogar qualquer chave RubyGems embutida em código, logs, diretórios temporários ou imagens de build, substituindo por segredos com escopo mínimo.
- Monitorar e alertar sobre
gem push, uploads diretos para API do RubyGems egem fetchde pacotes fora do inventário aprovado. - Inspecionar arquivos
.gemsuspeitos em sandbox para identificar inclusão de HTML, RSS, PDFs ou respostas HTTP coletadas. - Correlacionar scraping de portais externos com publicação de pacotes no mesmo host, usuário ou job de CI/CD.
- Solicitar remoção de pacotes abusivos ao registro quando houver republicação de dados institucionais ou uso de credenciais comprometidas.
0 Comentários