RubyGems 大規模惡意套件攻擊事件 2026
概述
RubyGems 儲存庫於 2026 年 5 月遭遇大規模惡意套件攻擊(超過 500 個惡意套件),Ruby Central 暫停新帳號註冊因應。Socket 另揭露名為 GemStuffer 的延伸攻擊行動,利用 RubyGems 作為資料外送管道,針對英國地方政府 ModernGov 入口網站擷取公開議會資料。
事件時間軸
| 日期 | 事件 |
|---|---|
| 5/11 | Mend.io Maciej Mensfeld 揭露,移除超過 120 個惡意套件 |
| 5/12 | 確認數百個套件受影響,部分挾帶惡意程式 |
| 5/13 | Ruby Central 暫停新帳號、限制 Webhook;啟動 WAF |
| 5/16 | 宣布事故解決,重開帳號註冊 |
GemStuffer 攻擊行動
- 揭露: Socket 資安研究
- 目標: 英國 ModernGov 地方政府入口(蘭貝斯、旺茲沃思、南華克)
- 手法: 收集公開議會資料 → 封裝成 Gem 套件 → 以固定 API 金鑰上傳
- 動機: 不明(可能為 PoC 蠕蟲或測試機制)
因應措施
- 暫停新帳號註冊
- 限制 Webhook
- 移除 500+ 惡意套件及機器人帳號
- 與 Fastly 協調啟動 WAF
來源文章
- ithome-2026-05-19-rubygems-attack-account-suspension-175927 — 主要事件(iThome 2026-05-19)
- ithome-2026-05-19-rubygems-gemstuffer-uk-gov-175931 — GemStuffer 延伸報導(iThome 2026-05-19)
相關頁面
- rubygems — 受攻擊的套件平台
- software-supply-chain-attack — 供應鏈攻擊相關概念