Исследователи компании Socket выявили масштабную кампанию, в ходе которой 60 вредоносных Ruby-библиотек (gems) скачали более 275 тысяч раз с марта 2023 года.
Эти пакеты выдавали себя за легитимные инструменты для автоматизации работы с Instagram, TikTok, Telegram, WordPress и другими сервисами, но на деле крали логины и пароли пользователей.
Опасные библиотеки распространялись через официальный репозиторий RubyGems.org под разными псевдонимами — zon, nowon, kwonsoonje и soonje, что усложняло отслеживание и блокировку.
Среди них были поддельные плагины для WordPress («wp_posting_duo»), боты для Telegram («tg_send_zon»), SEO-инструменты («backlink_zon») и даже сервисы для Naver Café. Все пакеты имели рабочий графический интерфейс и казались безобидными.
На практике же они передавали введённые данные — логины, пароли, MAC-адреса устройств — на заранее заданные серверы злоумышленников (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr). В некоторых случаях «инструменты» даже имитировали успешную авторизацию, хотя на самом деле никакого подключения к сервису не происходило.
По данным Socket, украденные данные уже обнаружены на русскоязычных площадках даркнета.
Часть вредоносных пакетов до сих пор доступна в RubyGems, хотя обо всех из них сообщили администрации платформы. Эксперты напоминают: перед установкой библиотек из открытых репозиториев стоит проверять репутацию разработчика, изучать код на предмет подозрительных фрагментов и использовать только проверенные версии зависимостей.
Эти пакеты выдавали себя за легитимные инструменты для автоматизации работы с Instagram, TikTok, Telegram, WordPress и другими сервисами, но на деле крали логины и пароли пользователей.
Опасные библиотеки распространялись через официальный репозиторий RubyGems.org под разными псевдонимами — zon, nowon, kwonsoonje и soonje, что усложняло отслеживание и блокировку.
Среди них были поддельные плагины для WordPress («wp_posting_duo»), боты для Telegram («tg_send_zon»), SEO-инструменты («backlink_zon») и даже сервисы для Naver Café. Все пакеты имели рабочий графический интерфейс и казались безобидными.
На практике же они передавали введённые данные — логины, пароли, MAC-адреса устройств — на заранее заданные серверы злоумышленников (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr). В некоторых случаях «инструменты» даже имитировали успешную авторизацию, хотя на самом деле никакого подключения к сервису не происходило.
По данным Socket, украденные данные уже обнаружены на русскоязычных площадках даркнета.
Часть вредоносных пакетов до сих пор доступна в RubyGems, хотя обо всех из них сообщили администрации платформы. Эксперты напоминают: перед установкой библиотек из открытых репозиториев стоит проверять репутацию разработчика, изучать код на предмет подозрительных фрагментов и использовать только проверенные версии зависимостей.
