150’den Fazla RubyGems Paketi Üzerinden Belediye Portalı Verileri Çalındı

Anasayfa » 150’den Fazla RubyGems Paketi Üzerinden Belediye Portalı Verileri Çalındı
APT, Veri İhlalleri, Yazılım Tedarik Zinciri
Mayıs 13, 2026Mayıs 13, 2026Tarafından Cybernews.TR
0
150’den Fazla RubyGems Paketi Üzerinden Belediye Portalı Verileri Çalındı

Saldırının Genel Çerçevesi

GemStuffer adlı kötü amaçlı yazılım kampanyası, 150’den fazla RubyGems paketini kullanarak İngiltere’deki belediye portallarından hassas verileri çalmayı başardı. Bu saldırı, 2023 sonu ve 2024 başında tespit edildi ve özellikle kamu sektörü altyapılarını hedef aldı. Paketlerin çoğu az indirilen veya hiç indirilmeyen, tekrarlayıcı yüklemeler içeren yapıda olması nedeniyle, saldırının kitlesel geliştirici saldırısı gibi görünmediği belirtildi.

Saldırı Zinciri ve Teknik Detaylar

Kampanya, RubyGems ekosisteminde yer alan meşru görünümlü paketlere zararlı kod enjekte ederek başladı. Bu paketler, MCP istemcisi gibi otomatik yükleme araçları tarafından indirildiğinde, arka planda AsyncRAT benzeri uzaktan erişim araçları devreye giriyor. Bu sayede saldırganlar, hedef sistemlerde komut ve kontrol (C2) iletişimi kurarak veri sızıntısı gerçekleştirdi. Saldırının tespitini zorlaştırmak için paketler tekrarlayıcı ve düşük indirme aktivitesine sahip olarak tasarlandı. MITRE ATT&CK matrisinde T1195 (Sideloading) ve T1071 (Uzak Komut ve Kontrol) teknikleri kullanıldı.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • RubyGems ve diğer paket yöneticilerinde kullanılan paketlerin davranışlarını düzenli olarak izleyin.
  • EDR çözümleri ile MCP istemcisi ve benzeri otomatik yükleyicilerin aktivitelerini takip edin.
  • SIEM sistemlerinde RubyGems yükleme ve güncelleme loglarını analiz edin.
  • Bulut güvenliği politikaları kapsamında paketlerin kaynağını doğrulayın ve imzalı paket kullanımını zorunlu kılın.
  • Ağ segmentasyonu ile kritik sistemleri dış kaynaklı paket yüklemelerinden izole edin.
  • Çok faktörlü kimlik doğrulama (MFA) ve IAM politikaları ile erişim kontrollerini güçlendirin.
  • Olay müdahale süreçlerinde RubyGems tabanlı saldırı senaryolarını dahil edin.
  • Yazılım tedarik zinciri güvenliği için düzenli güvenlik taramaları ve statik kod analiz araçları kullanın.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir belediye portalı, RubyGems paketlerini kullanarak çeşitli web uygulamalarını güncelliyor. Bu paketlerden biri GemStuffer tarafından ele geçirilmiş ve zararlı kod içeriyor. Paket güncellemesi sonrası MCP istemcisi aracılığıyla AsyncRAT benzeri bir zararlı yükleniyor ve saldırganlar portal üzerinden kişisel veri ve kimlik bilgilerine erişim sağlıyor. Bu durum, hem veri gizliliği ihlali hem de hizmet kesintisi riski doğuruyor.

Teknik Özet

  • Kullanılan zararlılar: GemStuffer, AsyncRAT
  • Hedef sektör: Kamu sektörü, belediye portalları
  • Kullanılan teknikler: Paket yükleme yoluyla zararlı kod enjekte etme, C2 iletişimi (MITRE ATT&CK T1195, T1071)
  • Saldırı zinciri: Zararlı RubyGems paketi yüklemesi → MCP istemcisi ile zararlı modül çalıştırma → Uzaktan erişim ve veri sızıntısı
  • Önerilen savunma: Paket kaynak doğrulaması, EDR ve SIEM entegrasyonu, ağ segmentasyonu, MFA ve IAM politikaları
, , , , , , ,