Így csaptak be mindenkit
A megtévesztő Ruby-csomagok a RubyGems.org oldalon különféle álneveken jelentek meg, hogy a visszakövetést és a blokkolást megnehezítsék. Bár meggyőző grafikus felületet és a hirdetett funkcionalitást kínáltak, valójában adathalász eszközként működtek: a bejelentkezési űrlapon megadott felhasználónevet, jelszót, valamint a gép MAC-címét azonnal továbbították az elkövetők parancs- és vezérlőszervereire. Az adatokat nyílt szövegként vitték el, sőt, néha még hamis siker- vagy hibavisszajelzést is adtak, miközben semmilyen valódi kapcsolatot nem létesítettek az adott szolgáltatással.
A támadások nyomai és a védekezés
A kikerült adatok orosz nyelvű darknet-piacokon, illetve a támadókhoz köthető, kétes marketingoldalakon is megjelentek. Bár a 60 ártalmas csomag közül legalább 16 ma is elérhető, a RubyGems támogatói csapatához minden érintett csomagot bejelentettek. Az ehhez hasonló ellátásilánc-támadások nem újak a RubyGems körében; legutóbb a Fastlane (Fastlane) csomagokat utánzó csomagokkal próbáltak fejlesztőket rászedni. Érdemes minden könyvtárat ellenőrizni, különösen, ha gyanús a kód, vagy ismeretlen a fejlesztő. Csak megbízható, ismert verziók telepítése ajánlott, hogy elkerüljük az adathalász támadásokat és az adatszivárgást.
