RubyGems 大規模惡意套件攻擊事件 2026

概述

RubyGems 儲存庫於 2026 年 5 月遭遇大規模惡意套件攻擊(超過 500 個惡意套件),Ruby Central 暫停新帳號註冊因應。Socket 另揭露名為 GemStuffer 的延伸攻擊行動,利用 RubyGems 作為資料外送管道,針對英國地方政府 ModernGov 入口網站擷取公開議會資料。

事件時間軸

日期事件
5/11Mend.io Maciej Mensfeld 揭露,移除超過 120 個惡意套件
5/12確認數百個套件受影響,部分挾帶惡意程式
5/13Ruby Central 暫停新帳號、限制 Webhook;啟動 WAF
5/16宣布事故解決,重開帳號註冊

GemStuffer 攻擊行動

  • 揭露: Socket 資安研究
  • 目標: 英國 ModernGov 地方政府入口(蘭貝斯、旺茲沃思、南華克)
  • 手法: 收集公開議會資料 → 封裝成 Gem 套件 → 以固定 API 金鑰上傳
  • 動機: 不明(可能為 PoC 蠕蟲或測試機制)

因應措施

  • 暫停新帳號註冊
  • 限制 Webhook
  • 移除 500+ 惡意套件及機器人帳號
  • 與 Fastly 協調啟動 WAF

來源文章

相關頁面