Крупная кампания кражи учетных данных через вредоносные Ruby-пакеты

Механизм кражи данных

Каждый пакет выполнял заявленные функции (массовая публикация, взаимодействие), но параллельно перехватывал логины и пароли, отправляя их на контролируемые злоумышленником серверы через HTTP-запросы. Инфраструктура включала домены programzon[.]com, appspace[.]kr и marketingduo[.]co[.]kr, где размещались упрощенные панели сбора данных.

Анализ кода пакета iuz-64bit показал стандартную схему: после ввода учетных данных в интерфейс на корейском языке (созданном с помощью Glimmer-DSL-LibUI) данные вместе с MAC-адресом устройства немедленно передавались на C2-сервер. Такая практика позволяла злоумышленнику отслеживать жертв между разными кампаниями.

Тактика и целевая аудитория

Кампания развивалась волнами с публикацией новых кластеров пакетов каждые 2-3 месяца. 16 пакетов остаются доступными в RubyGems, тогда как 44 (под аккаунтом zon) были удалены автором, но сохранились в кэшах и установках. Общее число загрузок превысило 275 000, хотя реальное число зараженных систем ниже из-за повторных установок.

Основными жертвами стали "серые" маркетологи, использующие автоматизацию для спама, SEO-манипуляций и накрутки вовлеченности. Их зависимость от одноразовых аккаунтов позволила вредоносу оставаться незамеченным свыше года. Подтверждением служат данные из утечек на теневых площадках (например, Russian Market), где жертвы фигурировали как клиенты marketingduo[.]co[.]kr.

Региональная специфика и двойное назначение

Кампания явно ориентирована на Южную Корею: интерфейсы, сообщения и переменные в коде выполнены на корейском, а инфраструктура использует домен .kr. Особую опасность представляют пакеты типа njongto_duo, маскирующиеся под инструменты автоматизации для финансовых форумов. Они позволяли злоумышленнику не только красть данные, но и манипулировать обсуждениями акций через скомпрометированные аккаунты.

Кампания демонстрирует тенденцию целевых атак на операторов автоматизированных систем, чья деятельность затрудняет обнаружение компрометации. Аналогичные схемы вероятно появятся в других экосистемах пакетов. Исследователи уведомили команду безопасности RubyGems о необходимости удаления активных пакетов и блокировки связанных аккаунтов.

Malicious Gems - zon Alias

• back_duo
• backlink_zon
• cafe_basics
• cafe_basics_duo
• cafe_bey
• cafe_buy
• cafe_buy_duo
• dpregister
• duo_board_crawling
• duo_blog_cafe_comment
• duo_blog_comment
• duo_cafe_comment
• idd-64bit
• idz-64bit
• iuu-64bit
• iuz-64bit
• njongto_duo
• njongto_zon
• nblog_duo
• nblog_zon
• posting_duo
• posting_zon
• podu332ss
• podu33332ss
• t32d
• t64d
• t64z
• tblog_duopack
• tblog_zon
• tg_send_duo
• tg_send_zon
• tiupd
• tiupz
• tidpd
• tidpz
• tizdppd
• tizdppz
• wp_posting_duo
• wp_posting_zon
• zon_board_crawling
• zon_blog_cafe_comment
• zon_blog_comment
• zon_cafe_comment
• zpregister

Malicious Gems - nowon Alias

• soonje_1
• soonje_2
• soonje_2_2
• soonje_3
• setago3
• deltago4
• board_posting_duo
• tblog_duo
• CAFE_Product
• CAFE_General
• CAFE_verillban
• jongmogtolon

Malicious Gems - kwonsoonje Alias

• setago
• setago2
• deltago

Malicious Gems - soonje Alias

• deltago3

C2 Endpoints and Network Indicators

• programzon.com/auth/program/signin
• programzon.com
• appspace.kr/bbs/login_check.php
• appspace.kr
• marketingduo.co.kr/bbs/login_check.php
• marketingduo.co.kr
• seven1.iwinv.net
• duopro.co.kr

Email Addresses Extracted from Gems

• mymin26@naver.com
• rnjstnswp123@naver.com
• marketingduo@marketingduo.com

Telegram

• @duo3333

Kakao OpenChat Room

• https://open.kakao.com/o/sCxh7vCd