Selon Socket (blog Socket.dev), l’équipe de recherche a mis au jour une attaque de chaîne d’approvisionnement sophistiquée dans l’écosystème RubyGems, active depuis mars 2023, ayant publié 60 paquets malveillants totalisant plus de 275 000 téléchargements.

Les gems malveillants se présentent comme des outils d’automatisation pour des plateformes de réseaux sociaux et marketing, mais volent des identifiants d’utilisateurs. L’opération cible en particulier des marketeurs « grey-hat » sud-coréens utilisant des comptes jetables, ce qui a permis à la campagne de rester discrète pendant plus d’un an.

Sur le plan technique, les paquets intègrent des interfaces Glimmer-DSL-LibUI qui sollicitent les identifiants des plateformes visées, puis les exfiltrent immédiatement via des requêtes HTTP POST vers des serveurs C2. Les gems capturent les nom d’utilisateur, mot de passe et adresse MAC afin de profiler les victimes.

La campagne vise des outils liés à Instagram, Twitter/X, TikTok, WordPress, Telegram, ainsi que des plateformes coréennes comme Naver et KakaoTalk. L’acteur de la menace opère sous plusieurs alias (zon, nowon, kwonsoonje, soonje) et utilise des tactiques de « package yanking » pour échapper à la détection tout en maintenant la persistance opérationnelle.

IOCs et TTPs 🧩

  • IOCs
    • Domaines C2 : programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr
  • TTPs
    • Interfaces Glimmer-DSL-LibUI pour tromper l’utilisateur et récupérer les identifiants
    • Exfiltration via HTTP POST
    • Fingerprinting par collecte d’adresses MAC
    • Multiples alias de l’acteur : zon, nowon, kwonsoonje, soonje
    • Package yanking pour éviter la détection
    • Déguisement en outils d’automatisation pour réseaux sociaux et plateformes marketing

Il s’agit d’une analyse de menace publiée par Socket visant à documenter une campagne de vol d’identifiants via des packages RubyGems malveillants et son infrastructure.

🧠 TTPs et IOCs détectés

TTPs

[“Utilisation d’interfaces Glimmer-DSL-LibUI pour tromper l’utilisateur et récupérer les identifiants”, ‘Exfiltration de données via HTTP POST’, “Fingerprinting par collecte d’adresses MAC”, “Utilisation de multiples alias pour l’acteur de la menace”, ‘Package yanking pour éviter la détection’, “Déguisement en outils d’automatisation pour réseaux sociaux et plateformes marketing”]

IOCs

[‘Domaines C2 : programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr’]

🔗 Source originale : https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign