كشف خبراء الأمن السيبراني عن حملة "GemStuffer" التي استغلت مستودع روبي جيمز لتسريب بيانات مسروقة من بوابات حكومية بريطانية عبر أكثر من 150 حزمة خبيثة.
ما هي حملة GemStuffer وكيف استهدفت روبي جيمز؟
تثير حملة سيبرانية جديدة تسمى "GemStuffer" قلق الباحثين، حيث استهدفت مستودع RubyGems الشهير بأكثر من 150 حزمة برمجية. وبحسب ما تابعه تيكبامين، فإن هذه الحزم لم تكن مصممة لتوزيع البرمجيات الخبيثة التقليدية، بل استخدمت المستودع كقناة لتسريب البيانات المستخرجة.
تتميز هذه الحملة بأنها لا تستهدف اختراق أجهزة المطورين بشكل مباشر، حيث تظهر الحزم نشاطاً ضئيلاً في التحميل. وبدلاً من ذلك، تعمل البرمجيات النصية على جمع بيانات من بوابات حكومية محلية في المملكة المتحدة وتحويلها إلى حزم برمجية يتم رفعها للمستودع.
كيف يتم استغلال مستودع RubyGems لتسريب البيانات؟
تعتمد حملة GemStuffer على آلية ذكية ومعقدة لاستغلال البنية التحتية للمستودع البرمجي، وتتلخص خطواتها فيما يلي:
- جلب صفحات الويب من بوابات الخدمات الديمقراطية التابعة للمجالس المحلية البريطانية.
- تغليف الاستجابات المجمعة في أرشيفات .gem صالحة تقنياً.
- نشر هذه الأرشيفات في مستودع RubyGems باستخدام مفاتيح API مدمجة في البرمجيات الخبيثة.
تزامن هذا الاكتشاف مع قيام RubyGems بتعطيل تسجيل الحسابات الجديدة مؤقتاً بعد ما وصف بأنه هجوم خبيث كبير. ورغم عدم تأكيد الرابط المباشر، إلا أن الخبراء يرون أن GemStuffer يتبع نفس نمط الإساءة المتمثل في استخدام حزم بأسماء عشوائية لاستضافة البيانات المسروقة.
ما هي البيانات التي استهدفتها حملة GemStuffer؟
ركزت الحملة على استهداف بوابات ModernGov العامة التي تستخدمها مجالس محلية مثل لامبيث، واندسورث، وسوثوارك. ووفقاً لتقرير تيكبامين، فقد شملت البيانات التي تمت أرشفتها ما يلي:
- تقاويم اجتماعات اللجان الحكومية.
- قوائم بنود جداول الأعمال.
- وثائق PDF المرتبطة بالاجتماعات.
- معلومات الاتصال الخاصة بالمسؤولين.
- محتوى خلاصات RSS الخاصة بالمجالس.
الأساليب التقنية المستخدمة في الهجوم
استخدم المهاجمون تنويعات تقنية مختلفة لضمان نجاح عملية الرفع، حيث تضمنت بعض الحزم البرمجية ما يلي:
- إنشاء بيئة اعتماد مؤقتة في مسار "/tmp" لتجاوز القيود الأمنية.
- بناء الحزم محلياً ودفعها باستخدام واجهة سطر الأوامر (CLI) الخاصة بروبي جيمز.
- استخدام طلبات HTTP POST المباشرة لرفع الأرشيفات إلى واجهة برمجة تطبيقات المستودع.
هل تشكل هذه الحملة تهديداً للبنية التحتية الحكومية؟
رغم أن البيانات المسروقة متاحة للجمهور بالفعل، إلا أن الجمع المنهجي والضخم لهذه البيانات يثير تساؤلات حول الأهداف الحقيقية للمهاجمين. يرى المحللون أن هذا النشاط قد يكون مجرد خطوة أولية لإظهار القدرة على اختراق البنية التحتية الحكومية أو استخدامها كنقطة انطلاق لهجمات أكثر خطورة مستقبلاً.
بمجرد نشر الحزم الجديدة، لا يحتاج المهاجم سوى لتشغيل أمر بسيط لجلب الحزمة والوصول إلى البيانات المسروقة بسهولة، مما يجعل من RubyGems منصة استضافة مجانية وآمنة للمهاجمين لتخزين بياناتهم المسروقة بعيداً عن أعين الرقابة التقليدية.
