كشف باحثون في الأمن السيبراني عن حملة جديدة أطلق عليها اسم GemStuffer، استهدفت مستودع RubyGems بأكثر من 150 حزمة، ليس بغرض نشر برمجيات خبيثة كما هو معتاد، بل لاستخدامه كقناة لتهريب بيانات تم جمعها من بوابات الخدمات الديمقراطية التابعة للمجالس المحلية في المملكة المتحدة.
طبيعة الحزم الخبيثة
وفقًا لشركة Socket، فإن الحزم لا تبدو مصممة لاختراق واسع النطاق للمطورين، إذ أن معظمها لم يسجل أي نشاط تحميل يُذكر، كما أن الشيفرات المضمنة فيها متكررة وصاخبة وذاتية الاكتفاء بشكل غير مألوف.
بدلًا من ذلك، تقوم السكربتات بجلب بيانات من بوابات المجالس المحلية البريطانية، ثم تعبئتها في أرشيفات .gem صالحة، ونشرها مجددًا على RubyGems باستخدام مفاتيح API مضمنة.
آلية الاستغلال
الحملة تستغل RubyGems كطبقة تخزين بديلة، حيث يتم:
- جلب روابط محددة مسبقًا من بوابات المجالس.
- تعبئة الاستجابات HTTP داخل أرشيفات gem.
- نشر هذه الأرشيفات عبر RubyGems باستخدام بيانات اعتماد مضمنة.
في بعض الحالات، ينشئ الكود بيئة مؤقتة لمفاتيح RubyGems داخل مجلد “/tmp”، ويعيد تعريف متغير HOME، ثم يبني الحزمة محليًا ويدفعها إلى المستودع باستخدام واجهة CLI. أما في نسخ أخرى، فيتم رفع الأرشيف مباشرة عبر واجهة RubyGems API باستخدام طلب HTTP POST.
الأهداف والبيانات المستهدفة
الحملة ركزت على بوابات ModernGov التابعة لمجالس مثل Lambeth وWandsworth وSouthwark، بهدف جمع:
- جداول اجتماعات اللجان.
- قوائم بنود الأجندة.
- مستندات PDF المرتبطة.
- معلومات الاتصال بالمسؤولين.
- محتوى خلاصات RSS.
ورغم أن هذه البيانات عامة ومتاحة للجمهور، إلا أن جمعها بشكل منهجي وتهريبها عبر RubyGems يثير تساؤلات حول الهدف النهائي، إذ قد يكون استعراضًا لقدرات المهاجمين ضد البنية التحتية الحكومية، أو مجرد اختبار لإساءة استخدام سجلات الحزم.
دلالات الحملة
شركة Socket أشارت إلى أن الحملة قد تكون:
- رسائل مزعجة عبر السجل.
- دودة إثبات مفهوم.
- أداة لجمع البيانات آليًا تستخدم RubyGems كطبقة تخزين.
- أو اختبار متعمد لإساءة استخدام المستودع.
لكن المؤكد أن الآليات المستخدمة كانت متعمدة: إنشاء متكرر للحزم، زيادات في الإصدارات، مفاتيح RubyGems مضمنة، ودفع مباشر للسجل مع بيانات مجمعة داخل الأرشيفات.
