RubyGems suspenzijom registracija odgovara na masivni napad sa stotinama zloslutnih paketa
RubyGems suspenzijom registracija odgovara na napad sa više od 500 zloslutnih paketa učitanih u repozitorijum.
Šta se desilo?
Платформа RubyGems je suspenzijom registracija novih paketa reagovala na koordinisani napad tokom kojeg je u repozitorijum učitano više od 500 zloslutnih paketa. Istraživanja pokazuju da je pravim ciljem napada bila sama RubyGems platforma, a ne krajnji korisnici Ruby ekosistema.
Koga pogađa?
Primarno su ugroženi RubyGems kao platforma i njena infrastruktura. Ispravan odabir ciljeva tokom napada ukazuje da je napadalac imao napredne znanje o sistemu. Potencijalno su ugroženi i razvojni timovi koji su u riskantnom periodu pokušavali da instaliraju nove pakete iz repozitorijuma.
Kako se zaštititi?
- Privremeno izbegavajte instalaciju novih paketa iz RubyGems dok se situacija ne stabilizuje
- Koristite fiksne verzije paketa u svojoj gemfile konfiguraciji umesto verzija sa wildcard operatorima
- Redovno pratite zvanične kanale RubyGems za ažuriranja o statusu incident-a
- Analizirajte logove instalacije paketa kako biste identifikovali eventualno učitane zloslutne pakete
- Koristite sigurnosne oruđe za skeniranje zavisnosti u vašim projektima
Tehnički detalji
Napad je uključio učitavanje preko 500 zloslutnih paketa tokom kratkog vremenskog perioda. Ciljni fokus na samo RubyGems infrastrukturu sugeriše sofisticiran pristup sa mogućom namjerom da se destabilizuje sam repozitorijum ili eventualno da se steče pristup kritičnim resursima.
Preporuka Sajber Radara
Pratite zvanične kanal komunikacije RubyGems-a za detalje o broju skeniranja postojećih instalacija i potencijalnu analizu ugroženih paketa. Domaće razvojne timove pozivamo da privremeno suspenzijom novih zavisnosti smanje rizik dok se situacija u potpunosti razrešava.