El gestor de paquetes de Ruby, RubyGems.org, suspendió el registro de nuevas cuentas tras un ataque masivo que publicó cientos de paquetes maliciosos en su repositorio.
El incidente mantiene los registros desactivados por tiempo indefinido.
Más de 500 paquetes maliciosos
Según informó SecurityWeek, el ataque involucró cuentas bot que publicaron más de 500 paquetes basura, algunos con exploits activos.
El objetivo no eran los usuarios finales sino el propio equipo de RubyGems. Los atacantes intentaron ejecutar ataques de cross-site scripting (XSS) y exfiltrar datos del staff.
Maciej Mensfeld, miembro del equipo de seguridad de RubyGems y gerente senior de seguridad en Mend.io, confirmó en X que se trataba de un “ataque malicioso mayor”. Mensfeld advirtió que su preocupación es que este ataque “podría estar ocultando algo más sofisticado”.
Registros suspendidos por varios días
RubyGems anunció que los registros permanecerán cerrados de 2 a 3 días mientras coordinan con Fastly la activación de un firewall de aplicaciones web (WAF) y refuerzan los límites de velocidad en la creación de cuentas.
Los paquetes maliciosos ya fueron eliminados del registro y los paquetes existentes no se vieron comprometidos.
Las operaciones normales como la instalación de gemas y la publicación para usuarios existentes no se vieron afectadas durante el incidente.
Ataques a la cadena de suministro van en aumento
Este incidente se suma a una tendencia creciente de ataques a la cadena de suministro de software. Grupos como TeamPCP han comprometido paquetes ampliamente utilizados para distribuir malware que roba credenciales.
Google publicó un informe el lunes donde señaló que las credenciales robadas en estos entornos se han monetizado a través de asociaciones con grupos de ransomware.
Mensfeld confirmó que más de 120 paquetes maliciosos ya fueron retirados del registro y que el ataque se dirigió específicamente contra el propio RubyGems. “La actividad maliciosa contra rubygems.org se ha detenido”, informó el equipo en su página de estado.