RubyGems приостановил регистрацию новых пользователей. Репозиторий превратился в минное поле для программистов
RubyGems временно закрыл регистрацию новых аккаунтов после крупной атаки на экосистему Ruby. По данным участников расследования, злоумышленники загрузили сотни вредоносных пакетов, часть которых была нацелена на конкретные компании, а часть содержала рабочие инструменты для взлома.
Проблему публично описал Мацей Менсфельд, старший продуктовый менеджер Mend.io по безопасности цепочек поставок ПО. По его словам, атака затронула сотни пакетов, поэтому создание новых учётных записей на RubyGems пришлось остановить. На странице регистрации теперь указано, что новые аккаунты временно не принимаются.
Mend.io, которая помогает защищать RubyGems, пока не раскрывает технические детали инцидента. Компания планирует рассказать больше после того, как атака будет локализована. Кто стоит за загрузкой вредоносных пакетов, на момент публикации неизвестно.
Инцидент укладывается в более широкую картину атак на открытые репозитории кода. Злоумышленники всё чаще используют популярные пакетные менеджеры как точку входа в инфраструктуру разработчиков. Один скомпрометированный компонент может попасть в проекты множества компаний, а затем открыть путь к токенам, ключам доступа и другим чувствительным данным.
Накануне компания Google сообщила, что учётные данные, украденные в подобных атаках, уже используют для заработка через связи с группировками, которые занимаются вымогательством, кражей данных и распространением вредоносного ПО. В отчёте отдельно упоминаются случаи, когда атакующие, включая TeamPCP, компрометировали широко используемые пакеты и распространяли через них программы для кражи данных.
В случае с RubyGems главной мерой сдерживания стала остановка новых регистраций. Такой шаг ограничивает возможность быстро создавать свежие аккаунты и загружать новые пакеты, пока команда проверяет масштаб заражения и очищает репозиторий.