<div id="post_message_808943">

В RubyGems <a href="https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign" target="_blank">обнаружили </a>60 вредоносных пакетов, которые выдавали себя за безобидные инструменты для автоматизации социальных сетей, блогов и мессенджеров. Гемы похищали у пользователей учетные данные и, начиная с марта 2023 года, были скачаны более 275 000 раз.<br/>
<br/>
Эксперты компании Socket, заметившие эту кампанию, сообщают, что пакеты в основном нацеливались на пользователей из Южной Кореи, которые используют инструменты автоматизации для работы с TikTok, X, Telegram, Naver, WordPress, Kakao и так далее.<br/>
<br/>
Полный список вредоносных пакетов можно найти в отчете Socket. Ниже приведены примеры тайпсквоттинга, которыми пользовались злоумышленники.<ul><li>Автома� �изация WordPress: wp_posting_duo, wp_posting_zon.</li>
</ul><ul><li>Боты для Telegram: tg_send_duo, tg_send_zon.</li>
</ul><ul><li>SEO-инструменты для обратных ссылок: backlink_zon, back_duo.</li>
</ul><ul><li>Инструменты для блог-платформ: nblog_duo, nblog_zon, tblog_duopack, tblog_zon.</li>
</ul><ul><li>Инструменты для Naver Café: cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment.</li>
</ul>Малварь публиковалась на RubyGems.org от лица разных издателей: zon, nowon, kwonsoonje и soonje. Распределение вредоносной активности между несколькими аккаунтами усложняло отслеживание и блокировку атак.<br/>
<br/>
Подчеркивается, что все 60 гемов имели графический интерфейс, который выглядел правдоподобно и реализовал заявленную функциональность. Но вместе с этим все данные, вводимые жертвами в формы для входа, передавались на жестко закодированные адреса серверов атакующих (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr).<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/547950/code.jpg"/><br/>
<br/>
В ряде случаев инструменты также показывали сообщения об ошибке или успехе, хотя на самом деле не выполняли ни входа, ни API-запросов.<br/>
<br/>
В итоге операторам малвари передавались логины и пароли открытым текстом, MAC-адреса устройств (для фингерпринтинга), а также имена вредоносных пакетов (для отслеживания эффективности кампании).<br/>
<br/>
Исследователи отмечают, что обнаружили украденные данные в продаже на русскоязычных маркетплейсах даркнета.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/547950/logs.jpg"/><br/>
<br/>
В отчете отмечается, что как минимум 16 из 60 вредоносных гемов до сих пор доступны для скачивания, хотя Socket уведомила команду RubyGems обо всех вредоносных пакетах.<br/>
<br/>
Специалисты напоминают разработчикам, что всегда следует внимательно проверять пакеты из опенсорсных репозиториев на наличие подозрительного кода (например, обфускации), учитывать репутацию и историю релизов автора, а также полагаться на версии, которые уже проверены и известны как безопасные.<br/>
<br/>
<a href="https://xakep.ru/2025/08/11/rubygems-stealers" target="_blank">@ xakep.ru</a>
</div>