Forschende des Unternehmens Socket haben eine Kampagne entdeckt, die den Namen GemStuffer trägt. In deren Rahmen wurden mehr als 150 Pakete in das Repository RubyGems mit einem untypischen Ziel hochgeladen – nicht, um über den Paket-Registry bösartigen Code unter Entwicklern zu verbreiten, sondern um ihn als Kanal zur Speicherung und zum Abruf von Daten zu nutzen, die von Portalen der lokalen Selbstverwaltung im Vereinigten Königreich gesammelt wurden. Die Kampagne betrifft sowohl die RubyGems-Ökosystem insgesamt als auch Betreiber öffentlicher Portale auf Basis der ModernGov-Plattform, auch wenn die endgültigen Ziele der Angreifer unklar bleiben.

Mechanik der Attacke: Registry als Speicher

Nach Angaben der Forschenden waren die GemStuffer-Pakete nicht auf eine massenhafte Kompromittierung von Entwicklern ausgelegt. Viele von ihnen hatten so gut wie keine Downloads, und die Payload wird als sich wiederholend, „laut“ und ungewöhnlich eigenständig beschrieben. Anstatt Backdoors einzuschleusen oder Zugangsdaten zu stehlen, erfüllten die Skripte innerhalb der Pakete eine völlig andere Aufgabe:

• Sie luden Seiten von fest im Code hinterlegten URL-Adressen der Portale britischer Gemeinderäte herunter
• Sie verpackten die erhaltenen HTTP-Antworten in gültige Archive im Format .gem
• Sie veröffentlichten diese Archive wieder in RubyGems, wobei im Code eingebettete API-Schlüssel des Registrys genutzt wurden

Die Forschenden identifizierten zwei Varianten der Umsetzung. In der ersten legte die Payload in dem Verzeichnis /tmp eine temporäre Umgebung mit RubyGems-Zugangsdaten an, überschieb die Umgebungsvariable HOME, baute das Paket lokal und sendete es über die Kommandozeilenschnittstelle gem. In der zweiten Variante wurde das Archiv über einen HTTP-POST-Request direkt an das RubyGems-API hochgeladen, ohne den CLI zu verwenden. Nach der Veröffentlichung genügte für die Extraktion der gescrapten Daten der Befehl gem fetch unter Angabe von Paketname und -version.

Dieser Ansatz verwandelt einen öffentlichen Paket-Registry in eine Art Cloud-Speicher, auf den im Lesemodus ohne Authentifizierung zugegriffen werden kann. Das unterscheidet sich grundlegend von typischen Supply-Chain-Angriffen, bei denen bösartige Pakete auf eine Installation durch die Opfer abzielen.

Zielgerichtete Daten und unklare Motive

Laut den Berichten war die Kampagne auf öffentliche Portale des Systems ModernGov ausgerichtet, die von den Gemeinderäten von Lambeth, Wandsworth und Southwark – Bezirken Londons – genutzt werden. Die gesammelten Informationen umfassten:

• Kalender von Ausschusssitzungen
• Listen von Tagesordnungspunkten
• Zugehörige PDF-Dokumente
• Kontaktdaten von Amtsträgern
• Inhalte von RSS-Feeds

Bemerkenswert ist, dass all diese Informationen ohnehin öffentlich auf den Portalen der Kommunen zugänglich sind. Das macht das Endziel der Kampagne wenig offensichtlich. Socket schlägt mehrere mögliche Interpretationen vor: Registry-Spam, ein Prototyp eines Wurms, ein automatisierter Scraper, der RubyGems als Speicherschicht missbraucht, oder ein gezielter Test der Möglichkeiten zum Missbrauch von Paketregistrys.

Verbindung zum Vorfall bei RubyGems

Die GemStuffer-Kampagne wurde entdeckt, als RubyGems die Registrierung neuer Accounts nach einem groß angelegten bösartigen Angriff vorübergehend deaktivierte. Ein direkter Zusammenhang zwischen diesen Ereignissen ist nicht bestätigt, jedoch merkt Socket an, dass GemStuffer in dasselbe Missbrauchsmuster passt – das Anlegen neuer Pakete mit sinnfreien Namen zur Ablage von Daten. Es ist zu beachten, dass in den verfügbaren Quellen keine offizielle Bestätigung von RubyGems zu einer Verbindung dieser Vorfälle vorliegt.

Bewertung der Auswirkungen

Die unmittelbare Bedrohung für Entwickler, die RubyGems nutzen, ist in diesem Fall minimal – die Pakete sind nicht für die Installation in Projekten vorgesehen und enthalten keinen herkömmlichen Schadcode. Der Präzedenzfall zeigt jedoch ein ernstes Problem auf: Paketregistrys können als Infrastruktur für Aktivitäten verwendet werden, die nichts mit der Verteilung von Software zu tun haben. Dies erhöht den Aufwand für Moderation, vermüllt den Registry und untergräbt potenziell das Vertrauen in das Ökosystem.

Für Betreiber von ModernGov-Portalen stellt die systematische Sammlung öffentlicher Daten an sich zwar keine Kompromittierung dar, kann aber auf Aufklärungsaktivitäten hindeuten – insbesondere im Hinblick auf die Kontaktdaten von Amtsträgern.

Empfehlungen

• Administratoren von RubyGems-Abhängigkeiten: Prüfen Sie, ob in den Abhängigkeiten Ihrer Projekte unbekannte Pakete mit sinnfreien Namen und minimaler Download-Zahl aufgetaucht sind. Nutzen Sie Dependency-Analysetools, um anomale Pakete zu identifizieren.
• Betreiber von ModernGov-Portalen: Analysieren Sie die Webserver-Logs auf systematische automatisierte Anfragen an Seiten mit Sitzungen, Tagesordnungen und Kontaktdaten. Erwägen Sie die Einführung von Rate-Limiting, um sich vor massenhaftem Scraping zu schützen.
• Sicherheitsteams von Paketregistrys: Der Vorfall unterstreicht die Notwendigkeit, nicht nur den bösartigen Inhalt von Paketen zu überwachen, sondern auch anomale Veröffentlichungsmuster – etwa die massenhafte Generierung von Paketen mit inkrementierten Versionen und eingebetteten Zugangsdaten.
• Inhaber von RubyGems-API-Schlüsseln: Stellen Sie sicher, dass Ihre Schlüssel nicht kompromittiert wurden. Rotieren Sie Schlüssel bei Verdacht auf eine Leckage und aktivieren Sie Zwei-Faktor-Authentifizierung für die Veröffentlichung von Paketen.

Die GemStuffer-Kampagne ist ein untypischer Fall des Missbrauchs eines Paket-Registrys, bei dem RubyGems nicht als Angriffsvektor gegen Entwickler, sondern als kostenlose Dateninfrastruktur genutzt wird. Unabhängig davon, ob es sich um einen Proof-of-Concept oder um einen Teil einer umfassenderen Operation handelt, macht der Vorfall deutlich, dass Bedrohungsmodelle in Paketökosystemen über die klassische Suche nach Schadcode hinaus erweitert werden müssen – hin zu einer Analyse von Verhaltensmustern bei Veröffentlichungen und des Paketinhalts.